LG Lübeck: Fehlender Vertrag für Auftragsdatenverarbeitung begründet Schadensersatzanspruch / 2024

veröffentlicht am 25. Oktober 2024

LG Lübeck, Urteil vom 04.10.2024, Az. 15 O 216/23
Art. 82 DSGVO

Das LG Lübeck hat entschieden, dass bei einer Datenweitergabe von Auftragsverarbeiter an einen Unterauftragsverarbeiter bei Fehlen eines Auftragsdatenverarbeitungsvertrags die Datenübermittlung rechtswidrig ist und ein Schadensersatzanspruch nach Art. 82 DSGVO begründen kann. Bedenklich weit fällt die Ansicht der Kammer aus, dass ein Verantwortlicher, der rechtmäßig Daten an einen Dritten weitergebe, an der  weisungswidrigen Verarbeitung dieser Daten durch den Dritten im Sinne von 82 DSGVO „beteiligt“ sei. Art. 82 Abs. 2 DSGVO lautet: „(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.“ Sollte diese Rechtsansicht Platz greifen, wäre eine risikofreie Datenweitergabe im Internet nicht mehr möglich beziehungsweise würde jede Datenweitergabe unter dem Damoklesschwert des Schadensersatzes nach Art. 82 DSGVO stehen. Zum Volltext der Entscheidung:


Landgericht Lübeck

Urteil

Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in Höhe von 350,00 EUR zzgl. Zinsen in Höhe von 5 %-Punkten über dem jeweiligen Basiszinssatz seit dem 12.09.2023 zu zahlen. Im Übrigen wird die Klage abgewiesen.

Die Klägerseite hat die Kosten des Rechtsstreits zu tragen.

Das Urteil ist vorläufig vollstreckbar. Die Beklagte bzw. der Kläger kann die Vollstreckung durch die jeweilige Gegenseite jeweils durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Beklagte bzw. der Kläger vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrags leistet.

Die Berufung auch durch die Beklagtenseite wird zugelassen.

Der Streitwert wird auf 7.000 EUR festgesetzt.

Tatbestand

Bei der Klagepartei handelt es sich um einen Verbraucher. Die Beklagte betreibt in Europa die Musik-Streaming Plattform „Deezer“ unter der Internetadresse www.deezer.com.

Die Beklagte unterhielt bis Ende 2020 vertragliche Beziehungen zu dem externen Dienstleister für Kundenverwaltungsdienste M. (im Folgenden: M.), welche wiederum Muttergesellschaft der weiteren Firma O. Inc. (im Folgenden: O.) mit Sitz in Israel war. Letztere war der operative Anbieter der von der Beklagten genutzten Dienste. Dabei bestand zwischen der Beklagten und der M. eine Auftragsverarbeitungsvereinbarung. Bestandteil der Vereinbarung waren Abreden zu bei der M. vorzuhaltenden technischen und organisatorischen Maßnahmen zum Schutz der dieser anvertrauten Daten. Im Hinblick auf die Verarbeitung der Daten durch weitere Unterauftragnehmer regelt Ziff. 5 der Vereinbarung folgendes:

„5.1 Das Unternehmen ermächtigt den Anbieter hiermit, die in Anlage 4 aufgeführten Unterauftragsverarbeiter zu ernennen (und gestattet jedem dieser Unterauftragsverarbeiter, nach vorheriger schriftlicher Mitteilung an das Unternehmen gemäß Abschnitt 5.2 Unterauftragsverarbeiter zu ernennen), sofern die Unterauftragsverarbeiter die in Abschnitt 5.3 genannten Verpflichtungen einhalten.

5.2 Der Anbieter muss dem Unternehmen vorher schriftlich die Ernennung eines neuen Unterauftragsverarbeiters, einschließlich aller Einzelheiten der vom Unterauftragsverarbeiter vorzunehmenden Verarbeitung, mitteilen. Teilt das Unternehmen dem Anbieter innerhalb von zehn (10) Arbeitstagen nach Erhalt dieser Mitteilung schriftlich seine (begründeten) Einwände gegen die vorgeschlagene Ernennung mit, darf der Anbieter den vorgeschlagenen Unterauftragsverarbeiter nicht ernennen (und keine Personenbezogenen Daten des Unternehmens an ihn weitergeben), außer bei vorheriger schriftlicher Zustimmung des Unternehmens.

5.3 In Bezug auf jeden Unterauftragsverarbeiter verpflichtet sich der Anbieter:

(a) vor der ersten Verarbeitung Personenbezogener Daten des Unternehmens durch den Unterauftragsverarbeiter (oder gegebenenfalls in Übereinstimmung mit Abschnitt Erreur ! Source du renvoi introuvable.) eine angemessene DueDiligence-Prüfung durchzuführen, um sicherzustellen, dass der Unterauftragsverarbeiter in der Lage ist, das in der Hauptvereinbarung geforderte Schutzniveau für die Personenbezogenen Daten des Unternehmens zu gewährleisten;

(b) sicherzustellen, dass die Vereinbarung zwischen dem Anbieter oder dem entsprechenden Unterauftragsverarbeiter einerseits und dem Unterauftragsverarbeiter andererseits durch einen schriftlichen Vertrag geregelt wird, der dieselben Datenschutzverpflichtungen enthält, wie sie in diesem Nachtrag dargelegt sind, und die Einhaltung der Anforderungen von Artikel 28 Absätze 2 bis 4 der DSGVO gewährleistet. Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nach, bleibt der Anbieter dem Unternehmen gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen dieses Unterauftragsverarbeiters haftbar;

(c) wenn diese Vereinbarung eine Übermittlung in ein Drittland beinhaltet (mit Ausnahme von Übermittlungen in die Vereinigten Staaten an einen Unterauftragsverarbeiter, der nachweislich den Anforderungen des EU-USDatenschutzschilds entspricht und unter diesem registriert ist), das Unternehmen darüber zu informieren und sicherzustellen, dass (i) angemessene Schutzmaßnahmen gemäß den Artikeln 46 und 47 der DSGVO durchgesetzt werden oder (ii) die Übermittlung in ein Drittland unter eine der in Artikel 49 der DSGVO genannten Ausnahmeregelungen fällt, und sicherzustellen, dass das Unternehmen einer solchen Analyse zustimmt. Für den Fall, dass sich die Parteien nicht über die Mittel zur Gewährleistung des Schutzniveaus der übermittelten Personenbezogenen Daten einigen, stellt der Anbieter sicher, dass die Standardvertragsklauseln zu allen relevanten Zeitpunkten in die Vereinbarung zwischen dem Anbieter oder dem jeweiligen Unterauftragsverarbeiter einerseits; und dem Unterauftragsverarbeiter andererseits, oder bevor der Unterauftragsverarbeiter zum ersten Mal Personenbezogene Daten des Unternehmens verarbeitet, dafür zu sorgen, dass er einen Vertrag mit dem Unternehmen abschließt, der die Standardvertragsklauseln enthält; und

(d) dem Unternehmen Kopien der mit den Unterauftragsverarbeitern geschlossenen Vereinbarungen (die zur Entfernung vertraulicher Geschäftsinformationen, die für die Anforderungen dieses Nachtrags nicht relevant sind, geschwärzt werden können) zur Überprüfung vorzulegen, die vom Unternehmen von Zeit zu Zeit angeforderten werden.“

Hinsichtlich der weiteren Einzelheiten wird Bezug genommen auf die Auftragsverarbeitungsvereinbarung, welche als Anlage B2a vorliegt.

Die in der Ziffer 5.1 der Vereinbarung in Bezug genommene „Anlage 4“ zu der Vereinbarung wurde dem Gericht – auch nach entsprechendem Hinweis vom 8. Mai 2024 – nicht vorgelegt. Vortrag zu etwaigen datenschutzbezogenen Vertragsverhältnissen zwischen O. und M. oder O. und der Beklagten liegt trotz des vorgenannten Hinweises ebenfalls nicht vor.

Im Zuge der Zusammenarbeit mit den vorgenannten Firmen übermittelte die Beklagte 2019 umfangreiche Kundendaten auch an die O.. Diese Zusammenarbeit zwischen der Beklagten und O. wurde – dies allerdings von Klägerseite bestritten – zum 30. November 2020 beendet. Am 30. November 2020 schrieb O. der Beklagten, dass dort sämtliche Daten der Beklagten am 1. Dezember 2020 gelöscht würden. Hinsichtlich der Einzelheiten wird Bezug genommen auf eine entsprechende Email vom 30. November 2020, welche als Anlage B 4 vorliegt und in der es heißt: „I wanted to notify you that as our contract terminates today, we will be deleting your site and all the data on the site tomorrow. Please confirm receipt of this email.“.

Zu einem zwischen den Parteien umstrittenen Zeitpunkt kam es bei O. zu einem erfolgreichen Datenzugriff unbefugter Dritter, bei dem von den Tätern ein zuvor von der Beklagten an O. übermittelter Kundendatensatz der Beklagten aus dem Jahr 2019 erlangt werden konnten. Grundsätzlich von dem Vorfall betroffen waren jeweils jedenfalls folgende Informationen einer großen Zahl von Deezer-Nutzerinnen und -Nutzern: Vor- und Nachname, Nutzernamen, Geburtsdatum, E-Mail-Adresse, Daten über die Nutzung des Deezer-Dienstes, Geschlecht, Sprache, Land. Betroffen war jeweils auch die UserID, d.h. eine von der Beklagten vergebene Zahlenreihenfolge, welche einzelnen Nutzern individuell zugeordnet wird.

Die Täter machten den erfolgreichen Datenzugriff am 6. November 2022 öffentlich bekannt und boten die Datensätze der Beklagten im Darknet zum Verkauf an. Am 10. November 2022 meldete die Beklagte den Vorfall bei der französischen Aufsichtsbehörde (Commission Nationale de l’Informatique et des Libertés – CNIL). Hinsichtlich der Einzelheiten der Meldung wird Bezug genommen auf Anlage B1a. Die Beklagte informierte zudem ihre Nutzerinnen und Nutzer am 11. November 2022 auf ihrer Homepage über den Vorfall. Die Daten waren zwischenzeitlich auch kostenlos abrufbar.

Anfang 2023 informierte die Beklagte individuell betroffene Nutzerinnen und Nutzer per E-Mail. Darin riet die Beklagte den Nutzern insbesondere, ihre Passwörter als vorbeugende Sicherheitsmaßnahme zu ändern und die aktuellen Sicherheitsempfehlungen der Behörden zu beachten.

Nachdem die Klagepartei von dem Datenleck Kenntnis erlangt hat, versandten die zwischenzeitlich mandatierten Prozessbevollmächtigten der Klägerseite an die Beklagte ein anwaltliches Schreiben vom 26.06.2023, mit dem sie verschiedene Ansprüche gegen die Beklagte geltend machten. Hinsichtlich der Einzelheiten wird Bezug genommen auf das als Anlage K 1 vorliegende Schreiben.

Die Beklagte reagierte hierauf, mit der als Anlage B 14 vorgelegte E-Mail. Für die außergerichtliche Tätigkeit der Prozessbevollmächtigten der Klägerpartei macht diese Gebühren in Höhe von 1.054,10 EUR geltend.

Die Klägerseite behauptet, die Übermittlung der Kundendaten der Beklagten an den oben genannten externen Dienstleister sei ohne ausreichende Schutzmaßnahmen erfolgt. Sie meint, im Übrigen stelle bereits die Weiterleitung der Daten an den externen Dienstleister an sich eine Verletzung der DSGVO, insb. von Art. 6 DSGVO, dar.

Sie behauptet weiter der Datenzugriff habe sich bereits 2019 ereignet. Der Vorfall wäre bei ausreichenden technischen und organisatorischen Schutzmaßnahmen der Beklagten und einer ausreichenden Überwachung des Dienstleisters vermeidbar gewesen.

Die Klägerseite behauptet, die auf S. 3 f. des Schriftsatzes vom 29. Januar 2024 (Bl. 79f. d.A.) im Einzelnen aufgeführten individuellen Daten der Klägerseite seien von dem streitgegenständlichen Vorfall betroffen.

Die Klägerseite behauptet weiter, aufgrund der Veröffentlichung auch ihrer Daten im Darknet müsse diese damit rechnen, dass die Daten der Klagepartei von Kriminellen verwendet werde um die Klägerpartei zu schädigen. Die Zuordnung des vollständigen Namens und der Mail-Adresse eröffne böswilligen Akteuren eine weite Bandbreite an Möglichkeiten wie bspw. Identitätsdiebstahl, die Übernahme von Accounts oder gezielte Phishing-Nachrichten. Die unbefugte Veröffentlichung der personenbezogenen Daten der Klägerseite habe zu einem konkreten und auch emotional spürbaren Nachteil geführt. Seit der Kenntnis über das Datenleck mache sich die Klagepartei Sorgen über einen möglichen Missbrauch ihrer Daten.Dies habe sich beispielsweise in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen manifestiert. Die Klägerseite behauptet weiter, die Daten seien auch auf frei zugänglichen Seiten im Internet, beispielsweise auf den Seiten https://link-center.net/68451/deezer-database-leaked-22 oder http://bc.vc/YPwtnpR abrufbar gewesen.

Die Klägerseite meint, die Information der Beklagten an die französische Aufsichtsbehörde (Commission Nationale de l’Informatique et des Libertes – CNIL) sei nicht hinreichend umfassend und zeitnah erfolgt. Sie weist zudem daraufhin, dass schon kein rechtskonformer Auftragsverarbeitungsvertrag zwischen der Beklagten und der O. bestanden habe.

Die Klägerseite beantragt,

1. Die Beklagte zu verurteilen, an die Klagepartei immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das Ermessen des Gerichts gestellt wird, mindestens jedoch 3000 €, nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

2. Die Beklagte zu verurteilen, es zu unterlassen,

– personenbezogene Daten der Klagepartei als Unterlassungsgläubigerin, namentlich Telefonnummer, InkedIn-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Geolocation-Historie, den Lebenslauf, das aktuelle Gehalt sowie die Profil-URL, Linksammlung zu anderen Social-Media-Seiten und eigenen Homepages unbefugten Dritten zugänglich zu machen,

– personenbezogene Daten der Klagepartei als Unterlassungsgläubigerin, namentlich Telefonnummer, Deezer-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Geolocation-Historie, den Lebenslauf, das aktuelle Gehalt sowie die Profil-URL, Linksammlung zu anderen Social-Media-Seiten und eigenen Homepages des Unterlassungsgläubigers ohne Grundlage einer Einwilligung zu verarbeiten.

3. Die Beklagte zu verurteilen, der Klagepartei Auskunft über die Klagepartei betreffenden personenbezogenen Daten, welche die Beklagte bzw. der Drittdienstleister der Beklagten die M. Solutions, Ltd., verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten bzw. bei dem Drittdienstleister der Beklagten, der M. Solution, Ltd., durch Dritte erlangt werden konnten.

4. Festzustellen, dass die Beklagte verpflichtet ist, der Klägerseite alle zukünftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten bzw. des Drittdienstleisters, der Beklagten M. Solutions, Ltd.,der nach Aussage der Beklagten im Jahre 2021 erfolgte, entstanden sind und/oder noch entstehen.

5. Die Beklagte zu verurteilen, an die Klagepartei einen Betrag in Höhe von 1054.1 € (Rechtsanwaltskosten außergerichtlich) zu zahlen, nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz für die außergerichtliche anwaltliche Rechtsverfolgung.

Die Beklagte beantragt, die Klage abzuweisen.

Die Beklagte bestreitet, dass die Klägerpartei und ihre Daten von dem streitgegenständlichen Hackerangriff überhaupt betroffen gewesen seien.

Die Beklagte behauptet, die von der Beklagten selbst bereits vor dem Vorfall implementierten technischen und organisatorischen Schutzmaßnahmen seien jedenfalls ausreichend gewesen, um die gesetzlich erforderliche Datensicherheit zu gewährleisten. Hinsichtlich der Einzelheiten wird Bezug genommen auf die entsprechenden Ausführungen in der Klageerwiderung, dort S. 8 ff..

Auch die mit dem Dienstleister vertraglich vereinbarten und dort vorgehaltenen technischen organisatorischen Maßnahmen seien ausreichend gewesen; Hinsichtlich der Einzelheiten wird Bezug genommen auf die entsprechenden Ausführungen in der Klageerwiderung, dort S. 12 ff.Die dortigen Ausführungen würden auch für die O. gelten, da eine gruppenweit einheitliche IT-Infrastruktur existiere.

Die Beklagte behauptet, der streitgegenständliche Vorfall habe kurz vor der Veröffentlichung der Daten, jedenfalls aber erst nach Beendigung der Zusammenarbeit mit dem oben genannten Dienstleister stattgefunden.

Die Beklagte behauptet, erst am 8. November 2022 Kenntnis darüber erlangt zu haben, dass Unbekannte Daten von Nutzern der Beklagten im Dark Web zum Verkauf angeboten haben.

Sie behauptet zudem, der O. habe der Beklagten am 22. Februar 2023 bestätigt, dass sämtliche Daten der Beklagten sofort nach Vertragsbeendigung gelöscht worden seien.

Sie behauptet zudem, O. habe sodann im Juni 2023 eingeräumt, dass drei seiner Mitarbeiter die von dem Vorfall betroffenen Datensätze von einer Produktivumgebung („production environment“) in eine vom Dienstleister außerhalb der Vertragsbeziehung mit der Beklagten betriebene Nicht-Produktivumgebung („non-production environment“) überführt hatten. Dieser Vorgang sei vertraglich nicht gestattet gewesen und die Beklagte habe von diesem Vorgang keine Kenntnis gehabt.

Im Hinblick auf ihre Zusammenarbeit mit O. meint die Beklagte, es sei „marktüblich und nicht zu beanstanden“, dass Verträge innerhalb eines Konzerns von der Muttergesellschaft (auch mit Wirkung für verbundene Unternehmen) abgeschlossen würden. Es sei nicht die Pflicht der Beklagten, einen Vertrag mit dem Unterauftragsverarbeiter zu schließen, sondern die originäre Pflicht des Auftragsverarbeiters (vgl. Art. 28 Abs. 4 DSGVO); ein etwaiger Verstoß könne der Beklagten nicht zugerechnet werden.

Entscheidungsgründe

I.
Die Klage ist, mit Ausnahme der Anträge zu 2., 3. und 4 zulässig und im tenorierten Umfang begründet.

1. Die Klage ist mit Ausnahme der Anträge zu 2., 3. und 4. zulässig.

a. Das Landgericht Lübeck ist in internationaler, sachlicher und örtlicher Hinsicht zuständig.

aa. Die internationale Zuständigkeit der deutschen Gerichtsbarkeit folgt aus Art. 79 Abs. 2 S. 2 DSGVO, nachdem die Klägerseite ihren gewöhnlichen Aufenthalt in Deutschland hat.

aaa. Gemäß § 79 Abs. 2 DSGVO sind für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter im Ausgangspunkt die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Nach S. 2 der Vorschrift können solche Klagen wahlweise auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich – was vorliegend nicht der Fall ist – bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Sinn und Zweck dieser Zuständigkeitsregelung ist die Gewährleistung (und Erleichterung) eines effektiven Rechtsschutzes durch die betroffenenfreundliche Möglichkeit einer Klageerhebung am Aufenthaltsort, wobei damit nicht der „tatsächliche“, sondern der „gewöhnliche“ Aufenthaltsort gemeint ist, wie der Wortlaut der englischen Sprachfassung („habitual residence“) verdeutlicht (Spindler/Dalby, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 79 Rn. 19).

Diese Voraussetzungen liegen vor. Die Beklagte ist Verantwortliche bzw. Auftragsverarbeitende im Sinne der DSGVO. Gemäß Art. 4 Nr. 7, 8 DSGVO sind Verantwortliche natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Auftragsverarbeitende sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Die Beklagte hat vorliegend als Betreiberin der Streaming-Plattform allein über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu entscheiden, sodass sie insoweit als Verantwortliche im Sinne der DSGVO anzusehen ist (vgl. EuGH, Urteil vom 5. Juni 2018 – C-210/16 –, Rn. 30, juris); sie ist auch keine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Die Klägerseite als nach ihrem Vortrag betroffene Person hat ihren Wohnsitz im Bezirk des Landgerichts Lübeck, sodass die deutsche Gerichtsbarkeit international zuständig ist.

bbb. Es kann offenbleiben, ob Art 79 Abs. 2 DSGVO in seinem vorliegend eröffneten Anwendungsbereich die allgemeinen Zuständigkeitsvorschriften der EuGVVO verdrängt (in diesem Sinne etwa Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, DS-GVO Art. 79 Rn. 15 m.w.N., Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 8: Rechtsbehelfe, Haftung und Sanktionen Rn. 29) oder die Vorschriften daneben anwendbar bleiben (in diesem Sinne wohl Gola/Heckmann/Werkmeister, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl. 2022, DS-GVO Art. 79 Rn. 15). Denn auch nach den Vorschriften der EuGVVO ist keine abweichende ausschließliche Zuständigkeit im Sinne des Art. 24 EuGVVO begründet, sondern folgt die internationale Zuständigkeit der deutschen Gerichtsbarkeit vorliegend sowohl aus Art. 7 Nr. 1 lit. b) als auch Art. 18 Abs. 1 Alt. 2, Art. 17 Abs. 1 lit. c) EuGVVO (vgl. (vgl. BGH, Urteil vom 29. Juli 2021 – III ZR 179/20 –, BGHZ 230, 347-389, Rn. 24). Nach Art. 18 EuGVVO kann ein Verbraucher gegen eine Vertragspartei, die ihre Tätigkeit auf den Mitgliedsstaat, in dem der Verbraucher seinen Wohnsitz hat, ausrichtet, vor dem Gericht seines Wohnsitzes Klage erheben.

Vorliegend nutzte die Klägerseite jedenfalls nach ihrem Vortrag als Privatperson die Plattform der Beklagten, die dabei gewerblich handelt (EuGH, Urteil vom 5. Juni 2018 – C-210/16 –, Rn. 60, juris) und ihre Tätigkeit z.B. durch entsprechende Sprachoptionen auch speziell auf das Gebiet der Bundesrepublik und hier ansässige Nutzer ausgerichtet hat. Im Übrigen wäre aufgrund der Natur der Sache die Leistung der Beklagten, nämlich das Zurverfügungstellen der Nutzungs- und Kommunikationsmöglichkeiten, am Wohnsitz des Schuldners zu erbringen, so dass sich bereits aus Art. 7 Nr. 1 lit. b) 2. Spiegelstrich EuGVVO die internationale Zuständigkeit deutscher Gerichte ergibt.

bb. In sachlicher Hinsicht ist das erkennende Gericht gemäß zuständig. Zwar übersteigt der Streitwert nicht die Summe von 5.000,00 € gemäß §§ 23 Nr. 1, 71 Abs. 1 GVG (vgl. unten). Jedoch haben sich die Parteien bereits in der mündlichen Verhandlung vom 22. Februar 2024 rügelos eingelassen, § 39 Abs. 1 ZPO.

cc. Die örtliche Zuständigkeit des Landgerichts folgt sowohl aus § 44 Abs. 1 S. 2 BDSG als auch aus Art. 7 Nr. 1 lit. b) EuGVVO.

aaa. Art. 79 Abs. 2 S. 1 DSGVO regelt nur die internationale, nicht auch die örtliche Zuständigkeit (BR-Drs. 110/17, Anl., 111; Paal/Pauly/Frenzel, 3. Aufl. 2021, BDSG § 44 Rn. 1). Insoweit bestimmt § 44 Abs. 1 S. 2 BDSG, dass Klagen der betroffenen Person gegen einen Verantwortlichen oder einen Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der Verordnung (EU) 2016/679 oder der darin enthaltenen Rechte der betroffenen Person auch bei dem Gericht des Ortes erhoben werden können, an dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat. Diese Voraussetzungen liegen vor, nachdem die Klägerseite ihren gewöhnlichen Aufenthalt im hiesigen Gerichtsbezirk hat.

bbb. Im Übrigen folgt die örtliche Zuständigkeit auch aus Art. 7 Nr. 1 lit. b) EuGVVO, der – anders als die Art 17, 18 EuGVVO, die wie auch Art. 4 EuGVVO nur die internationale Zuständigkeit regeln – auch eine Regelung zur örtlichen Zuständigkeit enthält (Geimer in: Zöller, Zivilprozessordnung, 34. Aufl. 2022, Artikel 7 (Artikel 5 LugÜ), Rn. 1).

b. Die Klageanträge sind mit Ausnahme der Anträge zu 2. und zu 3. gemäß § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt.

Nach § 253 Abs. 2 Nr. 2 ZPO muss die Klageschrift neben einem bestimmten Antrag eine bestimmte Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs enthalten. Damit werden der Streitgegenstand abgegrenzt und die Grenze der Rechtshängigkeit und der Rechtskraft festgelegt sowie Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts bestimmt. Eine ordnungsgemäße Klageerhebung erfordert dabei eine Individualisierung des Streitgegenstandes. Die Klägerseite muss die gebotene Bestimmung des Streitgegenstandes vornehmen und kann sie nicht zur Disposition des Gerichts stellen. Eine an sich schon in der Klage gebotene Klarstellung kann von der Partei aber noch im Laufe des Verfahrens nachgeholt werden (vgl. zuletzt BGH, Urteil vom 17. Januar 2023 – VI ZR 203/22 –, Rn. 15 m.w.N., juris).

aa. Hieran gemessen ist der Klageantrag zu 1. als Zahlungsantrag bezogen auf den streitgegenständlichen Datenschutzvorfall hinreichend bestimmt. Die Klägerseite hat in der mündlichen Verhandlung vom 13.09.2024 dargelegt, den Schadensersatzanspruch nicht mehr auch auf unterlassene Auskünfte, sondern lediglich auf den Datenverlust selbst zu stützen.

bb. Der auf den Ersatz künftiger Schäden gerichtete Feststellungsantrag ist unzulässig.

In der Rechtsprechung ist im Hinblick auf den Ersatz künftiger immaterieller Schäden anerkannt, dass mit einem uneingeschränkten Antrag auf Ersatz immaterieller Schäden – wie hier durch den Antrag zu 4. erfolgt – alle diejenigen Schadensfolgen erfasst werden, die entweder bereits eingetreten und objektiv erkennbar waren oder deren Eintritt jedenfalls vorhergesehen und bei der Entscheidung berücksichtigt werden konnte (BGH, Urteil vom 20. Januar 2015 – VI ZR 27/14 -, Rn. 8, Juris). Entsprechend entscheidet das Gericht im Rahmen des Antrags auf Schadensersatz nach dem Grundsatz der Einheitlichkeit des Schmerzensgelds auch unter Einbeziehung der absehbaren künftigen Entwicklung des Schadensbildes (BGH, Urteil vom 10. Juli 2018, – VI ZR 259/15 -, Rn. 6, juris, m.w.N.). Hieraus folgt, dass ein daneben auf Ersatz künftiger immaterieller Schäden gerichteter Feststellungsantrag unzulässig ist, da hierfür das Feststellungsinteresse fehlt, da solche Schäden bereits durch die Rechtskraft der Entscheidung über den Klageantrag zu Ziffer 1. abgedeckt sind. Denkbar wäre danach allenfalls ein Feststellungsantrag auf Ersatz künftiger materieller Schäden. Eine derartige Differenzierung enthält der hier vorliegende Antrag jedoch gerade nicht, so dass dieser insgesamt als nicht hinreichend bestimmt abzuweisen ist. Auch in der Replik vom 18.01.2024 differenziert die Klägerseite nicht zwischen immateriellen und materiellen Schäden, sondern stellt klar, dass die Feststellung hinsichtlich sämtlicher künftiger Schäden gewünscht ist.

cc. Die Klageanträge zu 2. und zu 3 sind nicht hinreichend bestimmt.

Nach § 253 Abs. 2 Nr. 2 ZPO darf ein Unterlassungsantrag – und nach § 313 Abs. 1 Nr. 4 ZPO eine darauf beruhende Verurteilung – nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prüfungs- und Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt. Aus diesem Grund sind Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen, grundsätzlich als zu unbestimmt und damit als unzulässig anzusehen. Abweichendes kann gelten, wenn der gesetzliche Verbotstatbestand eindeutig und konkret gefasst ist, sein Anwendungsbereich durch eine gefestigte Auslegung geklärt ist oder der Kläger hinreichend deutlich macht, dass er kein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert. Die Bestimmtheit des Unterlassungsantrags setzt in solchen Fällen allerdings grundsätzlich voraus, dass zwischen den Parteien kein Streit darüber besteht, dass das beanstandete Verhalten das fragliche Tatbestandsmerkmal erfüllt. Die Wiedergabe des gesetzlichen Verbotstatbestands in der Antragsformulierung ist auch unschädlich, wenn sich das mit dem nicht hinreichend klaren Antrag Begehrte durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht in Frage steht, sondern sich deren Streit auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt. Eine auslegungsbedürftige Antragsformulierung kann im Übrigen hinzunehmen sein, wenn eine weitergehende Konkretisierung nicht möglich und die gewählte Antragsformulierung zur Gewährung effektiven Rechtsschutzes erforderlich ist (vgl. BGH, Urteil vom 26. Januar 2017 – I ZR 207/14 –, Rn. 18 m.w.N., juris).

Hieran gemessen weist der Klageantrag zu 2. keine ausreichende Bestimmtheit auf.

Die Klägerseite begehrt zum einen Unterlassung der Verarbeitung der Zugänglichmachung der genannten Daten an „unbefugte Dritte“ und das Unterlassen der Verarbeitung der genannten Datenpunkte „ohne Grundlage einer Einwilligung“.

Das Unterlassungsbegehrten hinsichtlich der Zugänglichmachung an „unbefugte Dritte“ ist bereits zu unbestimmt. Hier ist bereits nicht hinreichend konkretisiert, welche Dritten denn als „unbefugt“ gelten sollen.

Das Unterlassungsbegehren hinsichtlich der Verarbeitung der Daten „ohne Grundlage einer Einwilligung“ ist ebenfalls zu unbestimmt. Ein Antrag muss auch so gefasst sein, dass eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird (Greger in: Zöller, Zivilprozessordnung, 35. Auflage 2024, § 253 ZPO, Rn 13). Dies ist vorliegend jedoch der Fall. Denn im vorliegenden Fall würde die Frage, ob eine wirksame Einwilligung der Klägerseite, welche Grundlage einer Datenverarbeitung sein kann, in das Vollstreckungsverfahren gelagert.

Ebenfalls der Auskunftsantrag zu 3. Ist nicht hinreichend bestimmt. Es geht aus dem Antrag bereits nicht hinreichend deutlich hervor, welche konkrete Datenauskunft die Klägerseite fordert. Der Antrag bezieht sich zum einen auf Datenverarbeitungen bei der Beklagten und zum anderen auf einen Datenschutzvorfall, bei welchem Datenpunkte bei der Beklagten bzw. dem Drittdienstleister M. Solution Ltd. Durch Dritte erlangt werden konnten. Ausweislich des hier unstreitigen Sachverhaltes haben Dritte die Daten jedoch nicht von der Beklagten oder der M. Solution Ltd., sondern durch O. erhalten.

cc. Hinreichend bestimmt ist auch der Antrag zu 5.

2. Die Klage ist im tenorierten Umfang begründet, im Übrigen unbegründet.

a. Der Antrag zu 1. ist in Höhe von 350 EUR begründet, im Übrigen unbegründet.

Der Klägerseite steht gegen die Beklagte ein Anspruch auf Zahlung von immateriellen Schadensersatz gemäß Art. 82 Abs. 1 DSGVO wegen Datenschutzverstößen im Zusammenhang mit dem unstreitigen Datenschutzvorfall bei der Unterauftragnehmerin der Klägerseite, zu.

aa. Die Klägerseite ist aktivlegitimiert. Sie war zum streitgegenständlichen Zeitpunkt, mithin jedenfalls seit Anfang 2019, Kundin der Beklagten. Entsprechend wurden personenbezogene Daten der Klägerseite bei der Beklagten verarbeitet.

bbb. Die Kammer legt ihrer Entscheidung des Weiteren zugrunde, dass die im Schriftsatz vom 29. Januar 2024 (Bl. 79 ff. d.A.) genannten personenbezogenen Daten der Klägerseite, mithin insbesondere auch Deezer-UserID, Email, Nutzername sowie Geschlecht von dem streitgegenständlichen Datenschutzvorfall betroffen sind, mithin zunächst von der Beklagten an die O. herausgegeben und sodann von dort von Unbekannten abgegriffen und im Darknet veröffentlicht wurden.

Dass die Daten der Klägerseite zunächst bei der Beklagten als standardmäßig vorgehaltene Kundendaten vorgehalten wurden, ist dabei als unstreitig zu behandeln (vgl. oben).

Dass die Daten sodann von der Beklagten an die O. herausgegeben und von dort abgegriffen und veröffentlicht wurden, stuft die Kammer ebenfalls als unstreitig ein.

Dabei hat die Kammer eingehend gewürdigt, dass die Beklagte allerdings mit Nichtwissen bestreitet, dass die Daten veröffentlicht wurden. Der Beklagten steht es jedoch zur Überzeugung der Kammer nicht zu, die vorgetragene Veröffentlichung der Daten mit schlichtem Nichtwissen zu bestreiten. Die Klägerseite hat insoweit mit Schriftsatz vom 07.03.2024 konkret vorgetragen, welche ihrer Datenpunkte auf welcher konkreten Seite im Darknet veröffentlicht wurden. Dies darf die Beklagte nicht mit Nichtwissen bestreiten. In der Rechtsprechung des Bundesgerichtshofes ist insoweit geklärt, dass eine Erklärung mit Nichtwissen auch außerhalb des Bereichs der eigenen Handlungen und eigenen Wahrnehmung der Partei unzulässig ist, wenn und soweit eine Informationspflicht der Partei hinsichtlich der vom Gegner behaupteten Tatsachen besteht (BGH, Urteil vom 23. Juli 2019 – VI ZR 337/18 -, NJW 2019, 3788). Dies ist hier der Fall. Denn gem. Art. 33 Abs. 3 c), Abs. 4 DSGVO ist der Verantwortliche – hier mithin die Beklagte – im Falle einer Verletzung des Schutzes personenbezogener Daten verpflichtet, über die wahrscheinlichen Folgen der Verletzung des Schutzes der Daten ebenso zu informieren, wie über die Maßnahmen zur Behebung der Verletzung sowie zur Abmilderung der möglichen nachteiligen Auswirkungen. Diese Informationspflichten machen es erforderlich, dass sich die Beklagte ein eigenes Bild über die vorgetragenen Folgen des Vorfalles, die Wege der Verbreitung der Daten und hierauf aufbauend über etwaige Möglichkeiten zur Abmilderung der Folgen verschafft – zumal es einem weltweit tätigen Unternehmen wie der Beklagten ganz offenkundig technisch unproblematisch möglich ist, die entsprechenden Informationen beizuziehen. Dass es der Beklagten unzumutbar gewesen sein soll, auf der entsprechenden Seite im Darknet zu prüfen und zu sichern, welche konkreten Informationen dort verbreitet werden, ist nicht nachvollziehbar vorgetragen. Soweit die Beklagte insoweit ausführt, es sei ihr nicht zuzumuten, sich „in einem illegalen Forum anzumelden“ ist dieser Vortrag schon nicht einlassungsfähig. Zwischen den Parteien ist unstreitig, dass die Daten zum Download angeboten wurden. Dass dieser Download an unzumutbare Bedingungen oder Anmeldeprozedere geknüpft wurde, ist weder ersichtlich noch ansatzweise nachvollziehbar vorgetragen. Ebensowenig ist ersichtlich, inwieweit ein zur Beweissicherung, Strafverfolgung, Dokumentation und Unterrichtung der Betroffenen evident erforderlicher, kostenfreier Download der veruntreuten Daten dazu beigetragen haben sollte, „Kriminelle zu unterstützen“.

Aus dem Umstand, dass damit zugrunde zu legen ist, dass die streitgegenständlichen Daten in der von Klägerseite vorgetragenen inneren Verbindung veröffentlicht wurden folgt sodann, dass diese zuvor von der Beklagten an die O. herausgegeben worden sein müssen. Denn unstreitig ist die User-ID nicht öffentlich einsehbar. Die hier vorliegende Verknüpfung der UserID mit den sonstigen personenbezogenen Daten der Klägerseite ist damit nur damit erklärbar, dass die Daten eben in der vorliegenden Kombination zuvor von Deezer an O. herausgegeben und dort dann in dieser Bündelung abgegriffen wurden. Dies gilt umso mehr, als dass die Beklagte selbst ausschließt, dass es zu anderweitigen Sicherheitslücken in ihren Systemen gekommen ist.

bb. Der zeitliche Anwendungsbereich der DSGVO ist nach Art. 99 Abs. 2 DSGVO eröffnet, weil sich nach dem Vortrag beider Parteien der streitgegenständliche Vorfall jedenfalls nicht vor 2019 ereignete. Auch ist die DSGVO räumlich (Art. 3 Abs. 1 DSGVO) und sachlich anwendbar (Art. 2 Abs. 1 DSGVO). Die Beklagte hat personenbezogene Daten im Sinne des Art. 4 Abs. 1 Nr. 1 DSGVO gemäß Art. 4 Abs. 1 Nr. 2 DSGVO verarbeitet, weil sie diese bezogen auf die Person der Klagepartei im Rahmen der von ihr betriebenen Plattform Deezer gespeichert und sie an ihren Auftragnehmer, die O., weitergegeben hat. Die Beklagte ist Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO.

cc. Des Weiteren liegen auch jedenfalls zwei der Beklagten zuzurechnende rechtswidrige Datenverarbeitungsvorgänge vor.

aaa. Allerdings liegt insoweit kein Vortrag dahingehend vor, dass sich die Beklagte selbst einen schadensverursachenden Verstoß gegen die Bestimmungen des Art. 32 DSGVO (Datenschutz durch geeignete technische und organisatorische Maßnahmen) vorhalten lassen muss. Vielmehr ist zwischen den Parteien mittlerweile unstreitig, dass der Datenzugriff unberechtigter Dritter nicht auf den Systemen der Beklagten selbst erfolgte, sondern auf den Systemen des oben genannten Auftragnehmers der Beklagten. Welche Sicherungsmaßnahmen die Beklagte mithin auf ihren eigenen Systemen vorsah und ob diese den einschlägigen Bestimmungen der DSGVO genüge taten, ist aus diesem Grund für das vorliegende Verfahren ohne Belang.

bbb. Das Gericht ist jedoch überzeugt, dass bereits die Übertragung der streitgegenständlichen Daten von der Beklagten an die O. (vgl. oben) unter Verstoß gegen Bestimmungen der DSGVO erfolgte.

Dabei ergeben sich die Anforderungen an die Übertragung von Daten auf Auftragsverarbeiter aus Art. 28 DSGVO. Hiernach setzt die Verarbeitung von Daten durch Auftragsverarbeiter (und entsprechend die Übergabe der Daten an den Auftragsverarbeiter) voraus, dass zwischen der Beklagten und dem Auftragsverarbeiter ein Vertrag oder ein anderes Rechtsinstrument gem. Art. 28 Abs. 3 DSGVO vorliegt, der die dort im Einzelnen aufgezählten Maßnahmen und Gewährleistungen vorsieht. Entsprechendes gilt für eventuelle Unterauftragsverarbeiter: diesen muss ebenfalls verbindlich durch Vertrag oder ein anderes Rechtsinstrument dieselben Datenschutzpflichten auferlegt worden sein wie dem Auftragsverarbeiter selbst, § 28 Abs. 4 DSGVO. Fehlt es an diesen Voraussetzungen, so stellt sich (entgegen der hierzu geäußerten Rechtsansicht der Beklagten im Termin zur mündlichen Verhandlung) auch die Übermittlung der Daten von dem Verantwortlichen an den Auftragsverarbeiter oder Unterauftragsverarbeiter als rechtswidrig dar (vgl. hierzu etwa BeckOK DatenschutzR/Spoerr, 49. Ed. 1.8.2024, DS-GVO Art. 28 Rn. 29-32.1 m.w.N. zur dogmatischen Herleitung; Kühling/Buchner/Hartung, 4. Aufl. 2024, DS-GVO Art. 28 Rn. 61-63: „Umgekehrt ist eine fehlende oder unvollständige Vereinbarung ein eigener Normverstoß (…)“).

Diese vorgenannten Voraussetzungen für die rechtskonforme Übermittlung geschützter Daten an Auftragsdatenverarbeiter wurden hier nicht beachtet. Dabei kann dahinstehen, ob die O. als Auftragsdatenverarbeiter oder – wie dies der Vortrag der Beklagten nahelegt – als Unterauftragsdatenverarbeiter der M. tätig wurde. Denn nach dem insoweit unstreitigen Sachverhalt liegt weder ein den Anforderungen des Art. 28 Abs. 3 DSGVO genügender Auftragsverarbeitungsvertrag zwischen der Beklagten und der O. vor – an welche aber dennoch die Daten herausgegeben wurden -, noch ein Unterauftragsverarbeitungsvertrag zwischen der O. und der M.. Auch auf entsprechenden Hinweis vom 8. Mai 2024 erfolgte hierzu kein weiterer Sachvortrag. Eine wirksame Übertragung von Datenschutzverpflichtungen auf die O. lag damit entgegen der Vorgaben der DSGVO zu keinem Zeitpunkt vor.

Dem kann die Beklagte auch nicht entgegenhalten, dass es „marktüblich und nicht zu beanstanden“ sei, „dass Verträge innerhalb eines Konzerns von der Muttergesellschaft (auch mit Wirkung für verbundene Unternehmen) abgeschlossen werden“. Dies überzeugt die Kammer nicht. Nach deutschem und europäischen Gesellschaftsrecht handelt es sich auch bei konzernverbundenen Gesellschaften grundsätzlich um rechtlich selbständige Rechtspersönlichkeiten. Eine automatische Verpflichtung der Konzerntochter durch einen Vertrag der Konzernmutter findet nicht statt, so dass auch vertragliche Datenschutzpflichten der Konzernmutter nicht ohne weiteres zugleich sämtliche Töchter verpflichten. Entsprechend nimmt es nicht Wunder, dass auch in der einschlägigen datenschutzrechtlichen Literatur betont wird, dass es sich bei konzernverbundenen Gesellschaften um getrennte Organisationen handelt und auch datenschutzrechtlich eine Privilegierung von Konzernen nicht stattfindet (vgl. Nickel: Alternativen der konzerninternen Auftragsverarbeitung, ZD 2021, 140).

ccc. Des Weiteren muss sich die Beklagte auch die bei O. selbst unstreitig geschehenen Verstöße gegen die DSGVO zurechnen lassen.

(1) Die Verarbeitung der Daten bei der O. erfolgte unter Außerachtlassung des nach der DSGVO erforderlichen Schutzniveaus, welches – im Wege der Vertragsgestaltung nach Art. 28 Abs. 3 und 4 – sicherzustellen die Beklagte verpflichtet war. Da die Beklagte es unterlassen hat, die entsprechenden Verträge zu schließen bzw. deren Abschluss durch die M. zu gewährleisten, sieht die Kammer insoweit die Beklagte zumindest in der sekundären Darlegungslast, dass dennoch und entgegen des entsprechenden Anscheins bei der O. durchgängig ein den Vorgaben der DSGVO hinreichendes Schutzniveau aufrechterhalten wurde. Dieser sekundären Darlegungslast ist die Beklagte schon deshalb nicht nachgekommen, da sie selbst vorträgt, dass Mitarbeiter der O. die streitgegenständlichen Daten weisungswidrig aus der hierfür vorgesehenen Produktivumgebung („production environment“) entnommen und in eine vom Dienstleister außerhalb der Vertragsbeziehung mit der Beklagten betriebene Nicht-Produktivumgebung („non-production environment“) überführt hätten. Vortrag der Beklagten, dass in dieser vertragswidrigen Produktivumgebung dennoch alle maßgeblichen und erforderlichen Schutzvorkehrungen gewahrt wurden, findet sich nicht. Vielmehr geht auch die Beklagte davon aus, dass gerade diese Verschiebung der Daten in einen nicht hinreichend gesicherten Bereich ursächlich für den Datenschutzvorfall war.

(2) Diese Verstöße muss sich die Beklagte – entgegen der vorläufigen Einschätzung der Kammer in der Verhandlung am 22. Februar 2024 (vgl. hierzu auch den nachfolgenden Hinweis vom 8. Mai 2024) – zurechnen lassen. Der Begriff der Beteiligung an einer rechtswidrigen Datenverarbeitung nach der DSGVO geht insoweit deutlich weiter als von der Kammer zunächst angenommen. In der einschlägigen Literatur ist insoweit weitgehend Konsens, dass eine Beteiligung im Sinne der Verordnung nicht zwingend voraussetzt, dass der Verantwortliche selbst an dem letztlich schadensauslösenden Vorgang direkt mitgewirkt hat. Vielmehr genügt es grundsätzlich, wenn er im Sinne einer conditio sine qua non an der Vorgangsreihe beteiligt war, die letztlich die schädigende Handlung ermöglicht hat (Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 22; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 13, 14; Paal, MMR 2020, 14, 15; Spindler/Schuster/Spindler/Horváth, 4. Aufl. 2019, DS-GVO Art. 82 Rn. 9, 10; i.d.S. wohl auch: BeckOK DatenschutzR/Quaas, 47. Ed. 1.2.2024, DS-GVO Art. 82 Rn. 39-43). Hieraus folgt, dass selbst ein Verantwortlicher, der rechtmäßig Daten an einen Dritten weitergibt, an der weiteren, auch weisungswidrigen Verarbeitung dieser Daten durch den Dritten weiterhin „beteiligt“ im Sinne der Verordnung ist (Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 13, 14). Vor diesem Hintergrund liegt hier eine Beteiligung der Beklagten im Rechtssinne an der Datenverarbeitung durch Mitarbeiter von O. vor. Denn die Beklagte hat jedenfalls durch die (zudem rechtswidrige) Herausgabe der Daten an O. eine conditio sine qua non für diese nachfolgende Verarbeitung gesetzt. Durch diese weite Zurechnung wird auch nicht die Haftung der Verantwortlichen überzogen. Eine Begrenzung der Haftung findet vielmehr nach der Konzeption des Art. 82 DSGVO nicht über den weiteren Begriff der „Beteiligung“, sondern über die Exkulpationsmöglichkeit des Art. 82 Abs. 3 DSGVO statt.

dd. Soweit nach den obigen Ausführungen haftungsbegründende und der Beklagten zuzurechnende Verletzungen der DSGVO vorliegen, sind diese auch von der Beklagten zu vertreten.

Dabei kann für das vorliegende Verfahren dahinstehen, ob Art. 82 DSGVO eine verschuldensunabhängige Haftung begründet (BAG, EuGH-Vorlage vom 26. August 2021 – 8 AZR 253/20 (A) -, juris Rn. 40), eine Gefährdungshaftung mit der bloßen Möglichkeit der rechtsvernichtenden Einwendung fehlenden Verschuldens (vgl. hierzu etwa BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 17-22) oder ob mit der wohl h.M. angenommen werden kann, Art. 82 Abs. 3 DSGVO enthalte ein Verschuldenserfordernis im Sinne der gängigen deutschen Terminologie mit einer entsprechenden Vermutung zu Lasten des Normverletzers und einer bei dem Verpflichteten liegenden Beweislast, dass weder Vorsatz noch Fahrlässigkeit vorlag (vgl. etwa BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 17-22; Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 14, 15; so wohl auch: Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 82 Haftung und Recht auf Schadenersatz; EuArbRK/Franzen, 4. Aufl. 2022, EU (VO) 2016/679 Art. 82 Rn. 17, 18; Gola/Heckmann/Gola/Piltz, 3. Aufl. 2022, DS-GVO Art. 82 Rn. 24-26).

Denn selbst wenn Art. 82 DSGVO eine Exkulpationsmöglichkeit nach gängiger deutscher Terminologie zukommen würde, wäre der Beklagten eine Exkulpation nicht gelungen.

aaa. Im Hinblick auf die rechtwidrige Übertragung der Daten von der Beklagten auf O. sind keine Umstände ersichtlich, die die Beklagte entlasten könnten. Die Übertragung der Daten auf eine nicht hinreichend auf Datenschutzpflichten verpflichtete Drittfirma erfolgte jedenfalls fahrlässig. Insbesondere hätte die Beklagte bei pflichtgemäßer Kenntnis der einschlägigen Vorgaben der DSGVO realisieren müssen, dass keinerlei vertragliche oder sonstige Verpflichtung der O. gem. Art. 28 Abs. 3 DSGVO sichergestellt und eine Übergabe von personenbezogenen Daten an diese Firma mithin rechtswidrig war.

bbb. Eine Entlastung kommt im Übrigen auch nicht im Hinblick auf die rechtswidrige Verarbeitung der Daten bei der O. selbst in Betracht. Zwar ist insoweit anerkannt, dass es im Hinblick auf den weiten Beteiligungsbegriff im Rahmen der Zurechnung von Handlungen Dritter auch entsprechend weiter Entlastungsmöglichkeiten bedarf und hieraus folgt, dass es genügt, wenn der jeweilige Anspruchsgegner den Entlastungsbeweis für solche Verursachungsbeiträge führt, an denen er überhaupt beteiligt war und im Übrigen nur seine fehlende Beteiligung an dem konkreten Verursachungsbeitrag beweist (Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 51-53). Auch bei Zugrundelegung dieser weit gefassten Entlastungsmöglichkeiten kommt hier eine Exkulpation selbst dann nicht in Betracht, wenn der Vortrag der Beklagten selbst zu Grunde gelegt würde. Zwar könnte dann zu Gunsten der Beklagten unterstellt werden, dass diese an der rechtswidrigen Datenverarbeitung durch die Mitarbeiter der O. anlässlich deren Verschiebung in die Nicht-Produktionsumgebung in keiner Weise beteiligt war und hiervon auch keine Kenntnis hatte. Erforderlich für die Exkulpation wäre aber in jedem Fall noch ergänzend, dass der Beklagten der Entlastungsbeweis für den eigenen Verursachungsbeitrag gelänge, mit dem sie in der Verarbeitungskette noch beteiligt war. Dies ist aber gerade die rechtswidrige Herausgabe der Daten an O. – ohne die es gar nicht zu der Maßnahme der Mitarbeiter von O. hätte kommen können. Und hinsichtlich dieses Verursachungsbeitrages gelingt der Beklagten die Entlastung eben gerade nicht (vgl. oben).

ee. Des Weiteren liegt auch ein ersatzfähiger Schaden im Sinne von Art. 82 Abs. 1 DSGVO vor.

Grundsätzlich ermöglicht Art. 82 Abs. 1 DSGVO den Ersatz materieller und immaterieller Schäden. Ein materieller Vermögensschaden wurde von der Klägerseite nicht vorgetragen. Sie beruft sich jedoch erfolgreich auf das Vorliegen eines immateriellen Schadens.

aaa. Als Anknüpfungspunkte für einen immateriellen Schaden im Sinne des Art. 82 DSGVO sind hier die von der Klägerseite geschilderten Spam-Emails und Anrufe (im Folgenden bbb.), die vorgetragenen Sorgen und Ängste in Folge des oben festgestellten Datenschutzverstoßes durch die Beklagte (im Folgenden ccc.), die Veröffentlichung der Daten der Klägerseite im Internet (im Folgenden ddd.) denkbar und/oder die Übermittlung von Daten der Klägerseite an die für den Datenschutzvorfall Verantwortlichen an sich (im Folgenden eee.).

bbb. Auf die von der Klägerseite geschilderten Spam-Emails und die bei ihr eingehenden Anrufe kann sich die Klägerseite – und das Gericht erlaubt sich an dieser Stelle zu ergänzen: ganz offensichtlich – nicht berufen. Die Beklagtenseite hat insoweit nachvollziehbar bestritten, dass diese Emails und Anrufe etwas mit dem streitgegenständlichen Datenschutzvorfall zu tun haben und taugliche Beweisangebote der Klägerseite dafür, dass diese Anrufe bzw. Emails konkret durch den hier behandelten Datenschutzvorfall ermöglicht wurden, fehlen naturgemäß. Es ist insoweit dem Gericht aus eigener Anschauung bekannt, dass jedermann das Risiko trägt, Gegenstand derartiger Emails und Anrufe zu werden und entsprechend in keiner Weise nachvollzogen werden kann, aus welcher Quelle die hierfür Verantwortlichen die benötigten Daten, insbesondere die Emailkennung oder Telefonnummer beziehen. Vor diesem Hintergrund verbietet sich jedweder Anscheinsbeweis dahingehend, dass vorliegend der streitgegenständliche Datenschutzvorfall Quelle der benötigten Daten für die Anrufe bzw. Emails war. Dies gilt ausdrücklich auch im Hinblick auf eine etwaige zeitliche Koinzidenz der Anrufe/ Emails mit dem hier verhandelten Vorfall bei Deezer. Diese erhöht zwar die Wahrscheinlichkeit, dass ein Kausalzusammenhang bestehen könnte, bietet jedoch keinen hinreichenden Beweiswert, um diese Behauptung aus dem Reich der bloß irgendwie plausibel klingenden Spekulation in den Bereich des gerichtlichen Vollbeweises zu erheben.

ccc. Vorliegend liegt ein Schaden im Sinne von Art. 82 DSGVO jedoch in den geltend gemachten Ängsten und Sorgen der Klägerseite begründet.

Nachdem bis Ende 2023 weitgehend unklar war, ob bereits durch Datenschutzverstöße bedingte Ängste und Sorgen der betroffenen Personen einen hinreichenden Schaden im Sinne von Art. 82 DSGVO darstellen, hat der Gerichtshof der Europäischen Union erstmals mit Urteil vom 14. Dezember 2023 klargestellt, dass

„allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.“ (EuGH, Urteil vom 14. Dezember 2023 – C-340/21 –, Juris).

Diese Rechtsprechung hat der Gerichtshof sodann mit Urteil vom 25. Januar 2024 vertieft und nochmals entschieden, dass

der Begriff „immaterieller Schaden“ eine Situation umfasst, in der die betroffene Person die begründete Befürchtung hegt – was zu prüfen Sache des angerufenen nationalen Gerichts ist –, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden (EuGH, Urteil vom 25. Januar 2024 – C-687/21 –, Juris),

Dabei hat der Gerichtshof den nationalen Gerichten allerdings – insoweit einschränkend – die Aufgabe zugewiesen, zu prüfen, ob diese Befürchtung

„unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.“ (EuGH, Urteil vom 14. Dezember 2023 – C-340/21 –, Juris).

Dies ist etwa dann nicht der Fall, wenn sich das Risiko der rechtswidrigen Datenweitergabe als rein hypothetisch erweist (EuGH, Urteil vom 25. Januar 2024 – C-687/21 –, Juris).

Ausdrücklich hat er sodann im nachfolgenden Urteil vom 21. Dezember 2023 im Hinblick auf den Grad der zu verlangenden Ängste oder Sorgen ausgesprochen, dass Art. 82 DSGVO keine Bagatellgrenze kennt:

„Somit kann nicht angenommen werden, dass über diese (…) Voraussetzungen hinaus für die Haftung nach Art. 82 I DS-GVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss. Folglich verlangt Art. 82 I DS-GVO nicht, dass nach einem erwiesenen Verstoß gegen Bestimmungen dieser Verordnung der von der betroffenen Person geltend gemachte „immaterielle Schaden“ eine „Bagatellgrenze“ überschreiten muss, damit dieser Schaden ersatzfähig ist (EuGH, Urteil vom 14. Dezember 2023 – C-340/21 -, Juris).

Wiederholt bemüht der Gerichtshof in diesem Zusammenhang hinsichtlich der Schadensintensität die Formel „so geringfügig er auch sein mag“ (EuGH, a.a.O.).

Ein derartiger Schaden liegt hier auf Seiten der Klagepartei dar. Diese hat in der mündlichen Verhandlung hierzu nachvollziehbar ausgeführt, dass sie, nachdem ihr der streitgegenständliche Datenverlust bewusst geworden war, Angst habe und sich Sorgen mache. Aufgrund des streitgegenständlichen Vorfalles habe der Kläger Angst, dass seine Daten gestohlen werden könnten und dass in Zukunft so etwas wieder passiere. Er habe dadurch auch Angst, sich auf anderen Plattformen Benutzerkonten anzulegen und nutze wenn möglich nur noch Gast-Accounts. Die E-Mail-Adresse, die betroffen sei, nutze er auch im Alltag. Daher habe er Sorge, dass er doch mal auf einen Pishing-Angriff hineinfalle.

Davon, dass diese – von der Beklagtenseite bestrittenen – Ängste tatsächlich vorliegen, ist das Gericht aufgrund der mündlichen Anhörung im Verhandlungstermin überzeugt. In der Rechtsprechung ist insoweit anerkannt, dass das Gericht im Rahmen der freien Würdigung des Verhandlungsergebnisses den Behauptungen und Angaben einer Partei i.S.v. § 141 ZPO unter Umständen auch dann glauben und sein Urteil hierauf stützen kann, wenn diese ihre Richtigkeit sonst nicht beweisen kann (vgl. z.B. BGH, Beschluss vom 24. Juni 2003 – VI ZR 327/02 -, NJW 2003, 2527; vgl. etwa auch KG Beschl. v. 5.9.2022 – 25 U 92/21, BeckRS 2022, 48732). So liegt es hier. Die Aussagen der Klägerseite erachtet das Gericht für glaubhaft. Dabei waren an die Glaubhaftigkeit der Angaben schon im Ansatz keine überstiegenen Anforderungen zu stellen. Denn schon im Ansatz liegt es mehr als Nahe, dass sich die Klägerseite nach Bekanntwerden des Verlustes ihrer Daten bei der Beklagten Sorgen um deren Verbleib und um deren Verwendung durch die hierfür Verantwortlichen macht. Für die Kammer liegt es insoweit nahe, dass sich faktisch jedermann, der davon erführe, dass seine Daten Gegenstand eines offensichtlich kriminellen Angriffes waren, über deren Verbleib und über deren weitere Verwendung für illegitime Zwecke Sorgen machen würde. Es nimmt daher wenig Wunder, dass dies auch bei der Klägerseite der Fall war. Der Kläger führte nachvollziehbar aus, dass er sich aufgrund des streitgegenständlichen Vorfalles Sorgen mache.

Die Überzeugung von den Sorgen des Klägers wird auch nicht dadurch geschmälert, dass die betroffenen Daten tatsächlich nicht den richtigen Namen des Klägers, sondern einen Spitznamen enthalten. Denn betroffen ist jedenfalls die E-Mail-Adresse des Klägers. Er führte hier auch nachvollziehbar aus, dass sie bereits aufgrund der E-Mail-Adresse Sorgen habe, was noch geschehen könne, da es aus ihrer Sicht möglich sei, dass er Opfer eines Pishing-Angriffs werde. Die Sorgen erscheinen der Kammer auch nachvollziehbar, da die E-Mail-Adresse durchaus für Spam-E-Mails genutzt werden könnte, welche darauf ausgelegt sind, dass die tatsächlichen Daten offengelegt würden.

Nicht zu überzeugen vermag die Kammer im Übrigen insoweit die Überlegung etwa des Oberlandesgerichts Dresden, ausweislich der jedenfalls in Konstellationen, in denen mit Ausnahme der Telefonnummer ohnehin alle gescrapten Daten öffentlich sichtbar gewesen seien, kein Schaden vorläge, weil die Betroffenen insoweit ohnehin bereits weitgehend die Kontrolle verloren hätten und mit der Telefonnummer allein kaum Missbrauch denkbar sei (OLG Dresden Urt. v. 16.4.2024 – 4 U 213/24, GRUR-RS 2024, 8966). Merkmal des hier vorliegenden Vorfalles ist zur Überzeugung der Kammer vielmehr, dass hierdurch den die Daten Abrufenden erstmals die bis dato nicht in dieser Form öffentlich vorliegende Verknüpfung von Datenpunkten (wie insb. dem Namen) gerade mit der Email- und/oder Mobilfunknummer möglich war und die Abspeicherung dieser derart neu generierten Datenverknüpfung in einem mehrere Millionen User umfassenden Datenpaketes. Ersichtlich wird hierdurch die Gefahr gesteigert, dass kriminell handelnde Akteure diese Datenpakte erwerben und – ggf. in personalisierter Form – für Angriffe auf die betroffenen Personen nutzen. Es stellt im Sinne der obigen Rechtsprechung des Europäischen Gerichtshofes insoweit keine nur rein hypothetische Sorge der klägerischen Partei dar, in Folge dieses Vorgangs selbst Gegenstand derartiger Angriffsversuche zu werden.

ddd. Ein Schaden im Sinne von Art. 82 DSGVO liegt auch nach neuerlicher Überprüfung durch die Kammer in der Veröffentlichung der streitgegenständlichen Daten der Klägerseite im Darknet (vgl. hierzu zuletzt etwa LG Lübeck, Urteil vom 7. Dezember 2023 – Az. 15 O 73/23 -, Juris und öffentlich zugänglich in der Landesrechtsprechungsdatenbank Schleswig-Holstein).

i. Von der Veröffentlichung der streitgegenständlichen Daten ist in diesem Fall auch auszugehen (vgl. oben).

ii. Unter welchen Voraussetzungen ein „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO anzunehmen ist, richtet sich nach einer unionsrechtlichen und insoweit vom Recht der Mitgliedstaaten autonomen Auslegung dieses Begriffes. Maßgeblich sind für die Auslegung insbesondere der Wortlaut der betreffenden Bestimmung als auch der Zusammenhang in der sie sich einfügt

(EuGH, Urteil vom 4. Mai 2023 – C-300/21 -, juris, rn. 29: „Die DSGVO verweist für den Sinn und die Tragweite der (…) Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“ nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind“).

Aus dem Regelungszusammenhang ergibt sich vorliegend, dass der Begriff des „immateriellen Schadens“ weit auszulegen ist. Dies folgt insbesondere aus dem dritten Satz des 146. Erwägungsgrundes der DSGVO, nach dem „der Begriff des Schadens… im Lichte der Rechtsprechung des Gerichtshofes weit auf eine Art und Weise ausgelegt werden [soll], die den Zielen dieser Verordnung im vollen Umfang entspricht“ (vgl. etwa Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 17; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 6-12a). Das gleiche ergibt sich aus dem weiteren Regelungszusammenhang. Generell ist dem europäischen Recht – soweit nicht explizit anders angeordnet – eine Beschränkung des ersatzfähigen Schadens auf bestimmte, besonders geschützte Rechtsgüter fremd

(EuGH, Urteil vom 05. März 1996 – verb. Rs. C-46/93 u. C-48/93 -, NJW 1996, 1267: „Eine nationale Regelung, die den ersatzfähigen Schaden generell auf die Schäden beschränken würde, die an bestimmten, besonders geschützten individuellen Rechtsgütern entstehen (…) ist unvereinbar mit dem Gemeinschaftsrecht.“).

Entsprechend gilt, dass eine Beschränkung des Schadensbegriffes auf bestimmte Rechtsgüter nicht stattfindet (Hellgardt, ZEuP 2022, 7, 28), mithin jedwede Beeinträchtigung irgendeines im Unionsrecht anerkannten Rechtsgutes Schadensersatzforderungen auszulösen vermag. Die europäische Rechtslage unterscheidet sich insoweit maßgeblich von der geläufigen deutschen Regelung nach §§ 253 BGB, nach der generell nur Vermögensschäden ersetzt werden und ansonsten allenfalls noch die Rechtsgüter der körperlichen Unversehrtheit, der Freiheit und der sexuellen Selbstbestimmung Schadensersatzansprüche auszulösen vermögen.

Eine derartige – von dem Verstoß gegen die DSGVO selbst – zu trennende Rechtsgutverletzung liegt hier vor.

In der europäischen Rechtsordnung ist das Recht auf informationelle Selbstbestimmung als besondere und absolut geschützte Ausprägung des allgemeinen Persönlichkeitsrechts anerkannt (vgl. zur Bejahung eines Schadens im Sinne des Art. 82 DSGVO bei Verletzung des allgemeinen Persönlichkeitsrechts etwa EuArbRK/Franzen, 4. Aufl. 2022, EU (VO) 2016/679 Art. 82 Rn. 19ff.). Es folgt unmittelbar aus Art. 8 der Europäischen Grundrechtscharta und ist dort ausdrücklich geschützt. Diese Bestimmung schützt insbesondere die Herrschaft über die eigenen Daten, und damit die Möglichkeit, Dritte von der Erhebung oder Verwendung dieser Daten auszuschließen (Calliess/Ruffert/Kingreen, 6. Aufl. 2022, EU-GRCharta Art. 8 Rn. 10; vgl. hierzu etwa auch EuGH, Urteil vom 17.10.2013 – C-291/12 -, ZD 2013, 608 Rn. 24, 25). Der Schutz dieses Rechts ist dabei auch ausdrücklich Gegenstand gerade auch der DSGVO. In dieser ist in Erwägungsgrund 85 ausdrücklich ausgesprochen, dass eine Verletzung der Normen der DSGVO einen (…) immateriellen Schaden für natürliche Personen nach sich ziehen kann, „wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten“. Auch in Erwägungsgrund 75 wird das Rechtsgut der informationellen Selbstbestimmung erwähnt, wenn dort explizit das zu schützende Recht der Unionsbürger angesprochen wird, „die sie betreffenden personenbezogenen Daten zu kontrollieren“. Entsprechend ist (auch in der deutschen Rechtsprechung) anerkannt, dass eine Verletzung des allgemeinen Persönlichkeitsrechts einen Schaden im Sinne des Art. 82 DSGVO darstellen kann

(BeckOK DatenschutzR/Quaas, 45. Ed. 1.5.2023, DS-GVO Art. 82 Rn. 32; vgl. auch etwa: LAG Baden-Württemberg, Urteil vom 25. Februar 2021 – 17 Sa 37/20 -, Juris; ArbG Düsseldorf, Urteil vom 5.3.2020 – 9 Ca 6557/18 -, Rn. 84; Arbeitsgericht Dresden, Urteil vom 26. August 2020 – 13 Ca 1046/20 -, Juris, ZD 2021, 54; Wybitul/Haß/Albrecht NJW 2018, 113, 114; LG Lüneburg, Urteil vom 14.7.2020 – 9 O 145/19 -, ZD 2021, 275: „Der immaterielle Schaden des Klägers liegt hier in dem Verlust der Kontrolle über seine personenbezogenen Daten.“; so wohl auch: ArbG Münster Urt. v. 25.3.2021 – 3 Ca 391/20, BeckRS 2021, 13039).

Streitig war bis zuletzt nur, ob diese Verletzung eine gewisse Erheblichkeitsschwelle überschreiten muss (für eine Erheblichkeitsschwelle etwa OLG Dresden, Hinweisbeschluss vom 11. Juni 2019 – 4 U 760/19 (LG Görlitz) -, ZD 2019, 567; gegen eine Erheblichkeitsprüfung etwa EuArbRK/Franzen, 4. Aufl. 2022, EU (VO) 2016/679 Art. 82 Rn. 19ff.; BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 31-36; LAG Baden-Württemberg, Urteil vom 25. Februar 2021 – 17 Sa 37/20 -, BeckRS 2021, 5529) oder ob zumindest „ganz unerhebliche“ Verletzungen im Sinne einer Bagatelle ausscheiden sollten (EuArbRK/Franzen, 4. Aufl. 2022, EU (VO) 2016/679 Art. 82 Rn. 19-22; Paal, MMR 2020, 14, 16, mit weiterer Rspr. auch Wybitul, NJW 2021, 1190; OLG Dresden, Hinweisbeschluss vom 11. Juni 2019 – 4 U 760/19 (LG Görlitz) -, ZD 2019, 567) – wobei diese Frage nunmehr durch den Europäischen Gerichtshof dahingehend beantwortet wurde, dass keine Erheblichkeitsprüfung durchzuführen ist (EuGH, a.a.O.).

Ausdrücklich hat nunmehr auch der Europäische Gerichtshof in diesem Sinne entschieden. In seiner Entscheidung vom 11. April 2024 (Az. C-741/21) hat der Gerichtshof ausdrücklich festgehalten, dass der bloße „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können“. Nicht anderes folgt zur Überzeugung der Kammer insbesondere aus dem nachfolgenden Satz des Europäischen Gerichtshofes, mit dem dieser nochmals betont, dass „der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 dieser Verordnung darstellen kann, der einen Schadenersatzanspruch begründet,“ dies dann aber unter die Voraussetzung stellt, dass „die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat“. Dieser Zusatz verweist zur Überzeugung der Kammer nicht etwa darauf, dass es zusätzlich zu dem Kontrollverlust immer auch subjektiver emotionaler Beeinträchtigungen im Sinne von Ängsten oder Befürchtungen bedarf. Vielmehr verweist dieser Zusatz lediglich darauf, dass der Kontrollverlust nicht nur rein hypothetisch gewesen sein darf, weil faktisch niemand von den Daten Kenntnis genommen hat. Dies folgt zum einen aus dem Umstand, dass der Europäische Gerichtshof in dem genannten Satz ausdrücklich auf die Entscheidung Bezug genommen hat, in der derartige Fälle rein hypothetischer Risiken aus dem Schadensbegriff ausgenommen wurden (Urteil vom 25. Januar 2024 – C-687/21 -, Juris). Es folgt zum anderen aus dem Umstand, dass der Europäische Gerichtshof ausdrücklich bereits die (berechtigte) Angst nicht nur vor einer missbräuchlichen Verwendung von Daten, sondern auch schon vor einer Weiterverbreitung der Daten als Schaden eingestuft hat (Urteil vom 25. Januar 2024 – C-687/21 -, Juris). Wenn aber bereits die (berechtigte) Furcht vor einer Weiterverbreitung der Daten einen Schaden darstellt, muss erst Recht die tatsächlich stattfindende Verbreitung unter Verletzung des informationellen Selbstbestimmungsrechts einen Schaden darstellen.

Eine für die Bejahung eines Schadens damit ausreichende Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung in Form eines Kontrollverlustes liegt hier eindeutig vor. Das Recht auf informationelle Selbstbestimmung enthält die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann, wo und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden (vgl. oben). Dieses Recht der Klägerseite wurde verletzt. Infolge der obigen Verstöße gegen die einschlägigen Bestimmungen der DSGVO gelangten jedenfalls die im unstreitigen Teil des Tatbestandes aufgeführten Daten inzwischen unstreitig auf jedenfalls eine online betriebene Seite im Darknet, auf der sie über einen erheblichen Zeitraum rechtswidrig und massenhaft zum weiteren Vertrieb angeboten werden . Hierdurch wurde das dargelegte Recht der Klägerseite verletzt, selbst zu entscheiden, wo und ob sie diese Daten offenbaren möchte.

Unerheblich ist auch, ob die Daten auf mehreren Seiten angeboten werden. Die Gefahr, dass die rechtswidrig zirkulierenden Daten auch auf weiteren Seiten angeboten werden, ist dem Vorgang imminent und ist entsprechend allenfalls für die Höhe des zuzusprechenden Schadensersatzanspruches von Relevanz (vgl. unten).

Das Gericht sieht sich auch nach neuerlicher Überprüfung seiner Rechtsprechung nicht veranlasst, diese Ausführungen im Licht der ersten vorliegenden Rechtsprechung von Oberlandesgerichten hierzu abzuändern.

Nicht zu überzeugen vermögen insoweit die Ausführungen des Oberlandesgerichts Hamm (Urteil vom 15. August 2023, Az. I-7 U 19/23, GRURRS 2023, 22505). Dieses verneint das Vorliegen eines Schadens im Wesentlichen damit, dass der „Kontrollverlust in Form des unkontrollierten Abrufs der Daten durch die Scraper und der anschließenden Veröffentlichung des Leak-Datensatzes im Darknet (…) lediglich die zwangsläufige und generelle Folge der unrechtmäßigen bzw. unzureichend geschützten Datenverarbeitung durch die Beklagte“ gewesen sei (OLG Hamm, a.a.O.) – und damit gerade keinen konkreten Schaden im Einzelfall im Sinne der oben dargestellten Rechtsprechung des Europäischen Gerichtshofes darstellen könne. Dies überzeugt die Kammer nicht. Richtig ist zwar, dass die festgestellten Verstöße gegen die DSGVO zwingend das Risiko erhöht haben, dass es zu unrechtmäßigen Angriffen und Datenabflüssen kommt. Dass sich dieses Risiko jedoch auch tatsächlich realisiert ist alles andere als zwangsläufig der Fall. Vielmehr existieren bei einer potentiell sehr großen Zahl an Unternehmen und Behörden relevante Sicherheitslücken und mangelhafte Prozesse nach der DSGVO – die aber unentdeckt bleiben und bei denen es daher (oder aus anderen Gründen, z.B. mangelndes Interesse Dritte an den fraglichen Daten) zu keinen Datenabflüssen kommt. In diesen Fällen – aber eben auch nur in diesen Fällen – liegt die Konstellation von Verstößen vor, die mangels hieraus folgenden Schadens nicht zu einer Haftung des Verantwortlichen nach Art. 82 DSGVO führen. Anders liegt es hingegen zur Überzeugung der Kammer hier, da hier eben ein von der DSGVO-Verletzung selbst zu trennender (vgl. zu dieser z: EuGH, Urteil vom 4. Mai 2023 – C-300/21 -, juris) Datenabfluss ins Darknet samt dortiger Weiterverarbeitung und Veröffentlichung durch illegal handelnde Dritte tatsächlich passiert ist und es damit zu einer konkreten und individuell benennbaren Verletzung des Rechts der Klägerseite auf informationelle Selbstbestimmung gekommen ist – eines Rechts im Übrigen, dessen Verletzung zu prüfen das Oberlandesgericht Hamm vollständig unterlassen hat. Dass von dessen Verletzung auch Millionen anderer Nutzer*innen betroffen sind, gibt diesem Vorgang insoweit auch keinen anderen Charakter. Wäre es zu einem Abfluss der Daten nur der Klägerseite gekommen, bestünden kaum Zweifel an deren konkreter Betroffenheit. Dass sie jedoch nicht allein, sondern zusammen mit Millionen anderen Nutzerinnen und Nutzern betroffen ist, vermag hieran nichts zu ändern. Eine Rechtsgutverletzung wird nicht dadurch weniger Rechtsgutverletzung (und damit weniger justiziell schutzwürdig), dass sie massenhaft verursacht wurde.

Das gleiche gilt im Hinblick auf die Verfügung des Oberlandesgerichts München (OLG München, Verfügung vom 14.09.2023 – 14 U 3190/23 e, GRUR-RS 2023, 2473). Auch diese lässt nicht erkennen, dass eine mögliche schadensbegründende Verletzung des Rechts auf informationelle Selbstbestimmung erkannt wurde.

eee. Ob die Übergabe der streitgegenständlichen Daten an die für den Vorfall Verantwortlichen daneben ebenfalls einen Schaden im Sinne von Art. 82 DSGVO darstellt, kann dahinstehen, da jedenfalls bereits durch die obigen Feststellungen feststeht, dass ein ersatzfähiger Schaden vorliegt.

ff. Der festgestellte Schaden beruht zuletzt auch kausal (vgl. zu der str. Erforderlichkeit dieses Tatbestandsmerkmals nur BeckOK DatenschutzR/Quaas, 42. Ed. 1.8.2022, DS-GVO Art. 82 Rn. 26-27) auf den oben festgestellten Verstößen gegen die Vorgaben der DSGVO.

aaa. Im Rahmen der Kausalitätsprüfung ist dabei grundsätzlich erforderlich, dass der fragliche Schaden gerade durch die festgestellten Rechtsverstöße erfolgt sein muss (Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 42). Dabei ist allerdings weitgehend unstreitig, dass die damit im ersten Schritt durchzuführende conditio-sine-qua-non-Prüfung einer weiteren Begrenzung in der Art der auch in deutschen Recht geläufigen Aquivalenzprüfung bedarf. Erforderlich ist damit, dass der Schaden für den Schädiger vorhersehbar (in anderen Worten adäquat kausal verursacht) ist, der Schädiger also nach der allgemeinen Lebenserfahrung mit dessen Eintritt vernünftigerweise rechnen muss. Ausgegrenzt wird hierdurch die kausale Zurechnung vor allem von solchen Schäden, die auf einer völlig außergewöhnlichen Verkettung von Umständen und damit auf einem völlig atypischen Kausalverlauf beruhen (vgl. zu allem etwa Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 44, 45 m.w.N.; Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, DSGVO, Art. 82, Rn. 16).

bbb. Im Hinblick auf die rechtswidrige und der Beklagten zuzurechnenden Verarbeitung der Daten bei O. (vgl. oben) liegt gemessen an diesen Maßstäben Kausalität vor. Wäre es nicht zu der Verschiebung der Daten in einen vertragswidrigen und nicht hinreichend geschützten Raum gekommen, hätte es dort nicht zu dem Zugriff der Hacker von außen und in der Folge zu den festgestellten Schäden kommen können. Dafür, dass es zu dem Zugriff auch ohne die rechtswidrige Verarbeitung hätte kommen können ist hingegen nichts ersichtlich und nichts vorgetragen. Dass die Verschiebung der Daten in einen nicht hinreichend gesicherten Bereich dazu führt, dass diese Daten dem Risiko von Hackerangriffen und deren Folgen ausgesetzt sind liegt dabei auch nahe und stellt keinen atypischen Kausalverlauf dar, mit dem schlechterdings nicht gerechnet werden kann.

ccc. Ob daneben auch eine hinreichende Kausalität zwischen dem festgestellten Schaden und der rechtswidrigen Übergabe der Daten an O. besteht, kann nach allem dahinstehen, da die Beklagte bereits aufgrund der obigen Erwägungen haftet. Insoweit nur hilfsweise geht die Kammer jedoch davon aus, dass auch diese Kausalität zu bejahen ist. Kausalität im Sinne der Äquivalenztheorie liegt vor, da es ohne die rechtswidrige Weitergabe der Daten an O. nicht zu dem Verlust eben dieser Daten bei O. hätte kommen können. Die Kammer geht nach eingehender Beratung davon aus, dass dieser Kausalverlauf auch nicht einen derart atypischen Kausalverlauf darstellt, dass eine Zurechnung nach der Äquivalenztheorie ausscheidet. Denn Sinn und Zweck der maßgeblichen Normen über die Datenschutzpflichten bei der Datenübertragung auf Auftragsverarbeiter gemäß DSGVO ist es gerade, sicherzustellen, dass die bei dem Auftragsverarbeiter Zuständigen auf die Wahrung der gem. § 32 DSGVO erforderlichen Sicherheitsmaßnahmen konkret verpflichtet werden und zudem sichergestellt ist, dass diese Maßnahmen auch umgesetzt werden. Fehlt es – wie hier – vollständig an einer entsprechenden Umsetzung dieser Vorgaben zur Datenübertragung auf Auftragsverarbeiter, so ist es entsprechend nicht fernliegend, dass in der Folge bei dem nicht wirksam verpflichteten Datenverarbeiter Sicherheitslücken und Fehler in der Sicherheitsarchitektur entstehen oder zugelassen und von Dritten ausgenutzt werden. Hiergegen spricht auch an dieser Stelle nicht das von Beklagtenseite vorgebrachte Argument, dass im Konzernverbund ohnehin einheitliche Standards gewährleistet seien. Vielmehr entspricht es auch insoweit Sinn und Zweck der Normen über Auftragsverarbeiter und Unterauftragsverarbeiter nach Art. 26 DSGVO, einer Verantwortungsdiffusion in verschachtelten Strukturen entgegenzuwirken und die Verantwortlichen darauf zu verpflichten, dafür Sorge zu tragen, dass jeder konkret handelnde Datenverarbeiter verpflichtet wird und in der Folge auch praktisch dafür Sorge trägt, diese als verbindlich festgeschriebenen Pflichten in seinem Tätigkeitsbereich als solche zu erkennen und konkret umzusetzen.

ddd. Zu keiner Unterbrechung der Kausalität führt zuletzt der – bestrittene – Vortrag der Beklagten, dass die Zusammenarbeit mit O. bereits beendet war, als der externe Datenzugriff erfolgte. Zwar wäre in der Tat erwägenswert, ob eine Kausalitätsunterbrechung jedenfalls ab dem Zeitpunkt angenommen werden könnte, ab dem die Zusammenarbeit ordnungsgemäß beendet wurde und entsprechend mit einem fortbestehenden Sicherheitsrisiko bzgl. der Daten und damit mit einem Schadenseintritt schlechterdings nicht mehr zu rechnen war. Dies würde jedoch zur Überzeugung der Kammer voraussetzen, dass die Zusammenarbeit zumindest nach den eigenen Maßstäben der Beklagten ordnungsgemäß beendet wurde und diese zumindest nach ihren eigenen Maßstäben nicht mehr damit rechnen musste, dass noch schutzbedürftige Daten bei der O. vorhanden waren. Schon diese Mindestanforderungen liegen jedoch selbst nach dem Vortrag der Beklagtenseite nicht vor. Denn die von der Beklagten selbst gesetzten Vorgaben zur Löschung der übergebenen Daten wurden von der Beklagten nicht eingehalten. Gem. Ziff. 9.3. des Vertrages zwischen der Beklagten und M. muss der Anbieter dem Unternehmer „schriftlich bestätigen“, dass er und jeder Unterauftragnehmer den Abschnitt 9 „nach dem Beendigungsdatum vollständig eingehalten hat“. Eine derartige schriftliche Löschungsbestätigung wurde hier bis zu dem Datenverlust jedoch weder übersandt noch auch nur abgefragt. Vielmehr liegt nur eine formlose und dem betroffenen Datenvolumen ersichtlich unangemessen oberflächliche Absichtserklärung per Email vor, dass eine Löschung in den folgenden Tagen erfolgen soll – nicht aber eine schriftliche Bestätigung, dass dies auch tatsächlich erfolgt ist. Auch eine Überprüfung der angekündigten Löschung erfolgte durch die Beklagte bis zum Zugriff der Dritten nicht.

ee. Die Höhe des Schadensersatzes beziffert das Gericht mit 350,00 €, wobei es diesen Betrag für angemessen, aber auch für ausreichend hält, um den immateriellen Schaden auszugleichen und gleichzeitig der erforderlichen Abschreckungswirkung Rechnung zu tragen sowie dabei die besonderen Umstände des Falles zu würdigen. Dem Gericht steht insoweit gemäß § 287 ZPO ein Ermessen zu.

Es gelten für die Bemessung der Höhe des immateriellen Schadens die Grundsätze des § 253 BGB. Auch herangezogen werden können dabei die Kriterien des Art. 83 Abs. 2 DSGVO. Darunter zählen bspw. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten, die betroffenen Kategorien personenbezogener Daten zur Ermittlung (BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 31-36).

Im vorliegenden Fall war insbesondere zu berücksichtigen, dass die Beklagte Verstöße gegen die DSGVO begangen hat, in welchem Umfang die Daten der Klägerseite betroffen sind, und dass diese veröffentlicht wurden.

Auf der anderen Seite war heranzuziehen, dass in dem Datenpaket der Klägerseite unstreitig nicht ihr richtiger Name, sondern ein Spitzname enthalten war, welchen sie für die Plattform der Beklagten nutzte. Lediglich die E-Mail-Adresse und Geschlecht lassen einen Schluss auf die Klägerseite zu. Ebenfalls ist es (bislang) nicht zu einer konkreten Vermögensgefährdung oder -schädigung gekommen.

Auch war zu berücksichtigen, dass sich die Klägerseite Sorgen darüber macht, was noch mit ihren Daten passieren könne, insbesondere die Sorge, Opfer eines Pishing-Angriffs zu werden.

Auf der anderen Seite war heranzuziehen, dass in dem Datenpaket der Klägerseite unstreitig nicht ihr richtiger Name, sondern ein Spitzname enthalten war, welchen sie für die Plattform der Beklagten nutzte. Lediglich die E-Mail-Adresse sowie Geschlecht lassen einen Schluss auf die Klägerseite zu. Ebenfalls ist es (bislang) nicht zu einer konkreten Vermögensgefährdung oder -schädigung gekommen.

Ebenfalls war bei der Ermittlung der konkreten Schadenshöhe nicht zu berücksichtigen, dass die Klägerseite vorträgt, eine Vielzahl an SMS/E-Mails und Anrufen zu erhalten. Es wird insoweit auf die obigen Ausführungen verwiesen.

b. Der Anspruch auf Ersatz von Zinsen auf den oben zuerkannten Betrag folgt aus §§ 288, 291 BGB. Ersatz vorgerichtlicher Rechtsanwaltskosten kann die Klägerseite nicht verlangen, da schon nicht vorgetragen wurde, dass diese tatsächlich – etwa durch Zahlung – als Schaden beim Kläger entstanden sind. Eines vorhergehenden Hinweises bedurfte es insoweit nicht, da nur eine Nebenforderung betroffen ist, § 139 Abs. 2 ZPO.

II.

Die Kostenentscheidung folgt aus § 92 Abs. 1 ZPO, die Entscheidung zur vorläufigen Vollstreckbarkeit aus § 709 S.1 Nr. 11, 711 ZPO.

Die Kammer hat für die Beklagte die Berufung zugelassen, § 511 Abs. 4 ZPO, da die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts erfordert. Insbesondere zu der Frage, unter welchen Voraussetzungen ein Schaden im Sinne des Art. 82 DSGVO anzunehmen ist, liegen mittlerweile erheblich divergierende Entscheidungen zahlreicher Land- und Oberlandesgerichte vor. Es bedarf insoweit ersichtlich der höchstrichterlichen Klärung.

III.

Den Gebührenstreitwert hat die Kammer mit 7.000,00 € festgesetzt.

1. Der Bemessung des Gebührenstreitwertes hat die Kammer im Ausgangspunkt gemäß § 48 Abs. 1 S. 1 GKG die für die Zuständigkeit des Prozessgerichts oder die Zulässigkeit des Rechtsmittels geltenden Vorschriften der §§ 3, 6-9 ZPO über den Wert des Streitgegenstands zu Grunde gelegt. In der konkreten Streitsache ist ferner zu berücksichtigen, dass verfahrensgegenständlich eine Mehrzahl von Anträgen ist und die Streitigkeiten je nach Antrag zum Teil als vermögensrechtlich und zum Teil als nichtvermögensrechtlich zu qualifizieren sind.

Ob ein Rechtsstreit vermögens- oder nichtvermögensrechtlicher Natur ist, bestimmt sich nach dem Zweck des jeweiligen Klageantrages. Ist der Klageantrag unmittelbar auf eine vermögenswerte Leistung gerichtet, handelt es sich stets um einen vermögensrechtlichen Streit. Ferner sind Ansprüche als vermögensrechtlich zu qualifizieren, die auf vermögensrechtlichen Beziehungen beruhen bzw. ihnen entstammen, sowie solche Ansprüche, die im Wesentlichen der Wahrung wirtschaftlicher Belange dienen. In allen anderen Fällen ist das Rechtsverhältnis entscheidend, aus dem der geltend gemachte Anspruch hergeleitet wird (vgl. Elzer in: Toussaint, Kostenrecht, 53. Aufl. 2023, GKG § 48 Rn. 7 m.w.N.).

Für die Fälle nichtvermögensrechtlicher Streitigkeiten bestimmt § 48 Abs. 2 S. 1 GKG, dass der Streitwert unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache und der Vermögens- und Einkommensverhältnisse der Parteien, nach Ermessen zu bestimmen ist, wobei die Grenzen gemäß §§ 34 Abs. 1, 48 Abs. 2 S. 2 GKG bei 500 € und 1 Mio. € liegen. Im Grundsatz kann in Anlehnung an § 23 Abs. 3 Satz 2 RVG bei einer nichtvermögensrechtlichen Streitigkeit und mangelnden genügenden Anhaltspunkten für ein höheres oder geringeres Interesse von einem Wert von 5.000 € ausgegangen werden (vgl. etwa BGH, Beschluss vom 17. November 2015 – II ZB 8/14 –, Rn. 13, juris). Bei der Bemessung darf ferner das Gesamtgefüge der Bewertung nichtvermögensrechtlicher Streitgegenstände nicht aus den Augen verloren werden (vgl. BGH Beschluss vom 28.1.2021 – III ZR 162/20 -, GRUR-RS 2021, 2286 Rn. 9 m.w.N.).

2. Hieran gemessen hat die Kammer den Streitwert auf insgesamt 7.000 € festgesetzt. Im Einzelnen (vgl. hierzu auch die zu vergleichbaren Konstellationen ergangenen Entscheidungen des Schleswig-Holsteinischen Oberlandesgerichts vom 6. Juni 2024, Az. 5 W 4/24 und 5 W 11/23, leider nicht veröffentlicht):

a. Der Antrag zu 1. betrifft eine vermögensrechtliche Streitigkeit; der Streitwert ergibt sich aus dem von der Klägerseite vorgestellten immateriellen (Mindest-)Ersatzbetrag in Höhe von 3.000,00 €.

b. Der Antrag. auf Feststellung der Ersatzpflicht hinsichtlich künftiger Schäden betrifft eine vermögensrechtliche Streitigkeit. Ihm ist ein eigener wirtschaftlicher Wert beizumessen, wobei das Interesse der Klägerseite gemäß § 3 ZPO zu schätzen ist. Die Kammer schätzt dieses Interesse unter Berücksichtigung der hinsichtlich etwaiger künftiger Vermögensschäden ersichtlich schwierig nachzuweisenden Kausalität auf 500,00 €.

c. Der Unterlassungsantrag betrifft eine nichtvermögensrechtliche Streitigkeit. Die Kammer hat für diesen Unterlassungsantrag unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache und der Vermögens- und Einkommensverhältnisse der Parteien, und in Anlehnung an § 23 Abs. 3 S. 2 RVG auf 3.000,00 € festgesetzt. Konkrete Umstände für eine geringere oder höhere Wertfestsetzung sind nicht ersichtlich. Der Antrag ist darauf gerichtet, künftig zu verhindern, dass im Rahmen des Nutzungsverhältnisses der Beklagten bekannt gegebene personenbezogene Daten unbefugten Dritten zugänglich gemacht werden. Das Interesse besteht in der beabsichtigten Sicherstellung, dass etwaige (weitere) Rechtsverletzungen künftig unterbleiben, durch Veranlassung der Beklagten zur Gewährleistung eines höheren Schutzniveaus im Rahmen ihrer Datenverarbeitung. Für die Klägerseite ist dieses Interesse durchaus bedeutsam angesichts der von einem möglichen Datenverlust regelmäßig betroffenen hohen Personenzahl und der damit verbundenen Gefahr, dass die Daten der Klägerseite mit den Daten anderer Betroffener zu Datenpaketen von ungleich größerem Wert bzw. Interesse missbräuchlicher Verwendung zusammengeführt werden.

d. Die Kammer hat den Streitwert für den Klageantrag zu 3. auf 500,00 € festgesetzt. Dabei hat die Kammer berücksichtigt, dass ein Interesse der Klägerseite vorliegend sowohl – zumal das Auskunftsbegehren anders als das vorprozessuale Begehren gefasst ist – in der Auskunft an sich liegen als auch dem Zweck dienen kann, Voraussetzungen für den Grund und die Höhe eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO zu schaffen. Nachdem Letzteres in immaterieller Hinsicht bereits mit dem Klageantrag zu Ziffer 1. geltend macht wird und zudem hinsichtlich etwaiger künftiger Vermögensschäden mit dem Klagantrag zu 2 die Feststellung der künftigen Einstandspflicht begehrt wird, kommt dem Antrag zur Schaffung der Voraussetzungen für einen Schadensersatzanspruch gegenwärtig allenfalls hinsichtlich künftiger Vermögensschäden etwaige Bedeutung zu, wobei die Kammer das Interesse insoweit angesichts der ersichtlich problematisch nachzuweisenden Kausalität als gering einschätzt. Die Kammer hält auch unter Berücksichtigung des Interesses der Klägerseite an der Auskunft selbst einen Wert des Antrages von 500,00 € für angemessen.

I