Entscheidungsgründe

Die Klage ist zulässig (I.) und in dem aus dem Tenor ersichtlichen Umfang begründet, im Übrigen unbegründet (II.)

I. Die Klage ist zulässig.

1.

Das Landgericht Lüneburg ist international, sachlich und örtlich zuständig.

Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 Alt. 2. EuGVVO (Brüssel Ia - VO). Gemäß Art. 18 Abs. 1 Alt. 2 EuGVVO kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat.

Die klagende Partei ist gemäß Art. 17 Abs. 1 EuGVVO Verbraucher. Sie gibt an, einen Vertrag mit der Beklagten geschlossen zu haben über die Nutzung der D.-Plattform mittels eines Benutzerkontos zu privaten Zwecken. Die klagende Partei hat ihren Wohnort in W., woraus sich die internationale Zuständigkeit der deutschen Gerichte ergibt.

Die sachliche Zuständigkeit des Landgerichts Lüneburg folgt aus § 1 ZPO i.V.m. §§ 23 Nr. 1, 71 Abs. 1 GVG.

Das Landgericht Lüneburg ist nach Art. 18 Abs. 1 Alt. 2 EuGVVO sowie Art. 79 Abs. 2 Satz 2 DSGVO örtlich zuständig.

2.

Der Klageantrag zu Ziff. 1 ist hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO.

Die klagende Partei stellt die Bemessung des Schmerzensgeldes, hinsichtlich dessen sie eine Größenordnung ihrer Vorstellungen angegeben hat, zulässigerweise in das Ermessen des Gerichts.

Auch steht der Bestimmtheit nicht entgegen, dass der geltend gemachte Schadensersatzanspruch auf mehrere behauptete Verstöße gestützt wird. Es liegt keine Häufung unzulässiger alternativer Klagegründe bzw. Streitgegenstände vor. Der Streitgegenstand wird durch den Klageantrag, in dem sich die vom Kläger in Anspruch genommene Rechtsfolge konkretisiert, und den Lebenssachverhalt bestimmt, aus dem der Kläger die begehrte Rechtsfolge herleitet (§ 253 Abs. 2 Nr. 2 ZPO). Zum Anspruchsgrund sind alle Tatsachen zu rechnen, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten Tatsachenkomplex gehören, den der Kläger zur Stützung seines Rechtsschutzbegehrens dem Gericht vorträgt (vgl. BGH, Urteil vom 22.10.2013 - XI ZR 42/12, Rn 15).

Die klagende Partei begehrt eine Entschädigungsleistung, die sich auf mehrere behauptete Datenschutzverstöße gründet infolge der Veröffentlichung ihrer Daten wegen des Scraping-Vorfalls und auf eine angeblich fehlende Information von Nutzern bzw. Behörden, damit auf einem einheitlichen Lebenssachverhalt und einen dadurch näher bestimmten Streitgegenstand (vgl. Senat, Urteil vom 05.12.2023, 4 U 1094/23; i.E. ebenso: OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 51; OLG Köln, Urteil vom 07.12.2023 - 15 U 108/23, Rn. 17, 18). Dieser ist dadurch gekennzeichnet, dass der Kläger zum Zeitpunkt des Scrapings auf der von der Beklagten betriebenen Plattform angemeldet war. Maßgeblich ist, ob die Beklagte zu diesem Zeitpunkt hinreichende Datenschutzvorkehrungen getroffen hatte, mit denen sie das Abgreifen der Daten hätte verhindern können, und wie sie im Nachhinein mit dem Vorfall umgegangen ist. Miteinander verknüpft sind sämtliche Einzelaspekte dieses Vorgangs durch die Daten, welche die Klagepartei bei der Registrierung hinterlegt hat. Dies stellt bei natürlicher Betrachtung einen einheitlichen Lebenssachverhalt dar.

3.

Auch der Klageantrag zu Ziff. 2 ist zulässig.

a) Der Klageantrag zu Ziff. 2 ist hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Das festzustellende Rechtsverhältnis muss derart genau bezeichnet werden, dass über dessen Identität und damit über den Umfang der Rechtskraft der Feststellung keine Ungewissheit besteht (vgl. BGH, Urteil vom 22.11.2007 - I ZR 12/05, Rn. 22, beck-online). Hierbei sind die Klageanträge der Auslegung (§ 133 BGB) zugänglich (vgl. BGH, Urteil vom 24.04.2018 - XI ZR 207/17, Rn 10, beck-online mwN). Vorliegend lautet der Antrag der klagenden Partei auf Feststellung der Ersatzverpflichtung für "alle künftigen Schäden (...), die der Klageseite durch den unbefugten Zugriff (...) im Jahr 2019 entstanden sind und/oder noch entstehen werden".

Unstreitig wurden die Daten erst im Jahre 2022 im Darknet veröffentlicht. Die klagende Partei beruft sich in der Begründung ihrer Klage ebenfalls auf eine Veröffentlichung im Jahre 2022, sie ist nur der Auffassung, dass der Datensatz aus 2019 auch in 2019 entwendet worden sein muss. Es ist mithin davon auszugehen, dass die klagende Partei die Feststellung einer Ersatzverpflichtung für die Schäden begehrt, die auf dem unstreitigen Datenleck bei der Beklagten bzw. ihrem Dienstleister nebst anschließender Veröffentlichung im Darknet im Jahr 2022 beruhen, die in der Zeit zwischen 2019 und 2022 entwendet worden sein müssen. Insofern wurde der Antrag wie tenoriert abgeändert.

b) Auch das für den Klageantrag zu Ziff. 2 erforderliche Feststellungsinteresse nach § 256 Abs. 1 ZPO liegt hinsichtlich materieller Schäden vor. Voraussetzung hierfür ist es, dass dem Recht oder der Rechtslage der klagenden Partei eine gegenwärtige Gefahr oder Unsicherheit droht, die das erstrebte Urteil beseitigen kann (vgl. st. Rspr. BGH, Urteil vom 22.06.1977 - VIII ZR 5/76, Rn 11, juris mwN). Eine Klage auf Feststellung der Verpflichtung zum Ersatz bereits eingetretener und künftiger Schäden, bei Verletzung absoluter Rechtsgüter, ist zulässig, wenn die Möglichkeit eines Schadenseintritts besteht. Das Feststellungsinteresse ist nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund gegeben ist, mit dem Eintritt eines Schadens wenigstens zu rechnen (vgl. BGH, Urteil vom 20.03.2001 - VI ZR 325/99, Rn. 11, juris). Vorliegend ist möglicherweise das allgemeine Persönlichkeitsrecht der klagenden Partei betroffen. Die nicht von den Bestimmungen der DSGVO gedeckte Übermittlung oder Verarbeitung personenbezogener Daten kann eine Verletzung des allgemeinen Persönlichkeitsrechts als sonstiges Recht im Sinne des § 823 Abs. 1 BGB darstellen (vgl. OLG Frankfurt, Urteil vom 14. April 2022 - 3 U 21/20 -, Rn. 29, juris mwN; Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 2. Juli 2021 - 17 U 15/21 -, Rn. 70, juris). Diese Möglichkeit des Schadenseintritts hat die klagende Partei nach den allgemeinen zivilprozessualen Grundsätzen substantiiert darzutun. Gemessen an diesen Voraussetzungen wird die klagende Partei den Anforderungen an die Darlegung des Feststellungsinteresses gerecht. Hinsichtlich der weiteren materiellen Schäden hat diese zunächst ausgeführt, es könne noch nicht abgesehen werden, welche Dritte Zugriff auf die Daten erhalten hätten und für welche kriminellen Zwecke diese missbraucht würden. Unter Berücksichtigung des Umstandes, dass die im Wege des "Scrapings" erlangten personenbezogenen Daten im Internet veröffentlicht worden sind, erscheint es auch dem Gericht bei lebensnaher Betrachtung möglich, dass es bei der klagenden Partei aufgrund der Veröffentlichung persönlicher Daten im Internet zu künftigen materiellen Schäden, etwa durch betrügerische Kontaktversuche, kommt. Weiter ist auch nicht davon auszugehen, dass die Schadensentwicklung ca. 1,5 Jahre nach der Veröffentlichung ein Ende gefunden hat. Die Daten der klagenden Partei können immer wieder für betrügerische Aktionen verwendet und auch weiter gegeben werden; genau aus diesem Grunde wurden sie entwendet.

Hinsichtlich der immateriellen Schäden liegt indes ein Verstoß gegen den Grundsatz der Einheitlichkeit des Schmerzensgeldes vor. Dieser Grundsatz gebietet es, die Höhe des dem Geschädigten zustehenden Anspruchs aufgrund einer ganzheitlichen Betrachtung der den Schadensfall prägenden Umstände unter Einbeziehung der absehbaren künftigen Entwicklung des Schadensbildes zu bemessen. Lediglich solche Folgen, die zum Beurteilungszeitpunkt noch nicht eingetreten waren und deren Eintritt objektiv nicht vorhersehbar war, mit denen also nicht oder nicht ernstlich gerechnet werden musste und die deshalb zwangsläufig bei der Bemessung des Schmerzensgeldes unberücksichtigt bleiben müssen, werden von der vom Gericht ausgesprochenen Folge nicht umfasst und können deshalb die Grundlage für einen Anspruch auf weiteres Schmerzensgeld sein (BGH, Urteil vom 20. Januar 2015 - VI ZR 27/14 -, Rn. 8, juris; BGH, Urteil vom 10. Juli 2018 - VI ZR 259/15 -, Rn. 6, juris). Die Feststellung der Ersatzpflicht für weitere immaterielle Schäden ist daher nur dann zulässig, wenn die Möglichkeit besteht, dass künftig weitere, bisher nicht erkannte und nicht voraussehbare Leiden auftreten (Thüringer Oberlandesgericht, Urteil vom 9. Februar 2022 - 2 U 504/20 -, Rn. 232, juris). Dafür mangelt es an Vortrag der klagenden Partei.

II.

Die Klage ist jedoch nur teilweise begründet. Der klagenden Partei steht ein Anspruch gegen die Beklagte auf Ersatz ihres immateriellen Schadens, der außergerichtlichen Rechtsanwaltskosten jeweils nebst Zinsen in tenorierter Höhe sowie Feststellung einer Ersatzverpflichtung für weitere materielle Schäden zu. Alle weiteren mit der Klage geltend gemachten Ansprüche stehen der klagenden Partei hingegen nicht zu.

1.

Die klagende Partei hat gegen die Beklagte einen Anspruch auf Zahlung eines immateriellen Schadensersatzes in Höhe von 200,00 € gemäß § 82 Abs. 1 DSGVO.

Der zeitliche Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) ist nach Art. 99 Abs. 2 DSGVO eröffnet, weil nach dem Vortrag beider Parteien der streitgegenständliche Vorfall nicht vor dem 24.5.2018 stattgefunden hat. Auch ist die DSGVO räumlich (Art. 3 Abs. 1 DSGVO) und sachlich anwendbar (Art. 2 Abs. 1 DSGVO).

Art. 82 Abs. 1 DSGVO legt fest, dass jeder Person, der wegen eines Verstoßes gegen die DSGVO, der in einer Datenverarbeitung liegt, ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat. Diese Voraussetzungen sind vorliegend erfüllt. Die Beklagte hat gegen die DSGVO verstoßen (dazu unter a.) und den ihr obliegenden Exkulpationsnachweis nicht geführt (dazu unter b.). Die klagende Partei hat einen ersatzfähigen Schaden erlitten (dazu unter c.), der kausal auf die Verstöße der Beklagten zurückzuführen ist (dazu unter d.) und den das Gericht auf 200,00 € beziffert (dazu unter e.).

a. Die Beklagte hat als Verantwortliche nach Art. 4 Nr. 7 DSGVO gegen die Vorschriften der DSGVO verstoßen.

aa) Nach Art. 82 Abs. 1 DSGVO ist für eine Schadensersatzpflicht ein Verstoß gegen die DSGVO erforderlich. Da der sachliche Anwendungsbereich der DSGVO nach deren Art. 2 Abs. 1 jedoch nur für die Datenverarbeitung eröffnet ist, ist ein Verstoß in Form einer gegen die Vorschriften der DSGVO erfolgten Datenverarbeitung erforderlich. Art. 82 Abs. 1, Abs. 2 S. 1 und S. 2 DSGVO beinhalten daher lediglich die Klarstellung, dass der Verantwortliche für alle - durch entsprechende Verstöße verursachte - Schäden haftet, während der Auftragsverwalter nur unter weiteren Voraussetzungen für Schäden haftet. Eine Einschränkung hinsichtlich der - eine Haftung nach Art. 82 Abs. 1 DSGVO begründenden - Verstöße liegt hierin jedoch nicht.

bb) Die Beklagte hat keine hinreichenden Sicherheitsmaßnahmen zur Verhinderung des streitgegenständlichen "Scraping-Vorfalls" vorgehalten und somit gegen Art. 32, 24, 5 Abs. 1 lit. f) DSGVO verstoßen.

(1) Nach Art. 32 Abs. 1 DSGVO hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zielrichtung dieser Norm ist ein umfassender Schutz der für die Verarbeitung von personenbezogenen Daten genutzten Systeme, also im Kern die Datensicherheit (Mantz in: Sydow/Marsch DSGVO/BDSG, Art. 32 DSGVO Rn. 1). Das Gebot soll insbesondere personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten oder es unbeabsichtigt zu einem Verlust, einer Zerstörung oder Schädigung der Daten kommt (Martini in: Paal/Pauly, DSGVO, BDSG, Art. 32 DSGVO Rn. 2). Bei der Implementierung von geeigneten technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DSGVO sind dabei der Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen als Faktoren zu berücksichtigen. Dies bedeutet allerdings nur, dass sie in die Verhältnismäßigkeitsprüfung einzustellen, jedoch nicht notwendigerweise absolut zu befolgen sind (Gola/Heckmann/Piltz, 3. Aufl. 2022, DSGVO Art. 32 Rn. 14). Die DSGVO legt zur Bemessung der Geeignetheit der Maßnahmen insbesondere weiter fest, dass diese ein dem Risiko der Verarbeitung angemessenes Schutzniveau bieten müssen. Dabei kommt es letztlich darauf an, wie groß die Risiken sind, die den Rechten und Freiheiten der betroffenen Person drohen und wie hoch die Wahrscheinlichkeit eines Schadenseintritts ist. Damit ergibt sich, dass die Maßnahmen umso wirksamer sein müssen, je höher die drohenden Schäden sind (Ehmann/Selmayr/Hladjk, 2. Aufl. 2018, DSGVO Art. 32 Rn. 4; Spindler/Schuster/Laue, 4. Aufl. 2019, DSGVO Art. 32 Rn. 4). Dies wird vor allem anhand der Sensibilität der Daten und der Wahrscheinlichkeit eines Schadeneintritts bestimmt (Gola/Heckmann/Piltz, 3. Aufl. 2022, DSGVO Art. 32 Rn. 41). Art. 32 Abs. 1 DSGVO verpflichtet den Verantwortlichen und Auftragsverarbeiter aber nicht zu einem absoluten Schutz(niveau) der Daten. Das Schutzniveau muss vielmehr, je nach Verarbeitungskontext, dem Risiko bezüglich der Rechte und Freiheiten der betroffenen Personen im Einzelfall angemessen sein. Ausweislich des Erwägungsgrundes 76 zur DSGVO sollten dabei die Eintrittswahrscheinlichkeit und Schwere des Risikos anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt (so auch LG Lübeck, Urteil vom 25.05.2023 - 15 O 74/22, Rn. 84, juris).

Im vorliegenden Fall ist dabei zur Überzeugung des Gerichts an die vorzunehmenden Maßnahmen und das damit verbundene notwendige Schutzniveau ein hoher Maßstab anzusetzen. Das folgt daraus, dass im Falle von Scraping nicht lediglich Daten erhoben werden, die ohnehin öffentlich zugänglich sind. Vielmehr wird durch die Scraping-Angriffe eine Verknüpfung zu dem Konto des Betroffenen und der darin erhaltenen Daten erstellt und somit ein ganzes Datenpaket der nicht öffentlich einsehbaren Daten zusammengestellt. Die Gefahr, dass diese Daten sodann massenhaft durch Dritte veröffentlicht werden, ist - wie auch der vorliegende Fall zeigt - besonders hoch (vgl. auch LG Paderborn, Urteil vom 19. Dezember 2022 - 3 O 99/22 -, juris). Zum anderen ist gerade bei einem Unternehmen in der Größenordnung der Beklagten davon auszugehen, dass sie grundsätzlich die Möglichkeit hat, geeignete technische Maßnahmen zum Schutz gegen Scraping zu ergreifen.

Es handelt sich vorliegend um personenbezogene Daten. Hierunter versteht man nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die durch das Scraping unstreitig abgegriffenen Daten der klagenden Partei betrafen jedenfalls die E-Mail-Adresse und den Vor- und Nachnamen der betroffenen Person. Damit ist es möglich, die klagende Partei zu identifizieren. Es handelt sich mithin um personenbezogene Daten.

Die von der Beklagten implementierten Sicherheitsmaßnahmen waren nicht ausreichend, um die Rechte der klagenden Partei und ihre personenbezogenen Daten insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung durch Dritte zu schützen. Dabei kann dahinstehen, ob die Beklagte die von ihr behaupteten Maßnahmen zur Bekämpfung von einem wie hier vorliegenden Scraping tatsächlich ergriffen hat, denn diese Maßnahmen waren jedenfalls für sich allein nicht geeignet, einen angemessenen Schutz der personenbezogenen Daten der klagenden Partei zu gewährleisten. Die Beklagte trifft insoweit eine sekundäre Darlegungslast, zu den von ihr aufgeführten Schutzmaßnahmen konkret vorzutragen (OLG Stuttgart, Urteil vom 31.03.2021 - 9 U 34/21 -, juris). Eine sekundäre Darlegungslast trifft den Prozessgegner der primär darlegungsbelasteten Partei, wenn diese keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung hat, während der Bestreitende alle wesentlichen Tatsachen kennt und es ihm unschwer möglich und zumutbar ist, nähere Angaben zu machen (BGH, Urteil vom 10.02.2015 - VI ZR 343/13 -, juris). So liegen die Dinge hier, da es der Beklagten ohne weiteres möglich ist, darzulegen, welche konkreten Maßnahmen zum Schutz der Daten ergriffen wurden. Demgegenüber hat die klagende Partei als Außenstehende keine Kenntnis über die konkret implementierten Maßnahmen.

Die Beklagte hat zu den notwendigen und ergriffenen Maßnahmen nicht ausreichend vorgetragen. Sie hat zwar pauschal Sicherheitsvorkehrungen aufgelistet. Sie hat aber nicht hinreichend dargelegt, welche konkreten Maßnahmen sie überhaupt angewandt hat und wie genau diese ausgestaltet gewesen sein sollen, um den hier streitgegenständlichen Scraping-Vorfall zu vermeiden.

Dabei berücksichtigt die Kammer, dass Scraping weit verbreitet und damit zum Zeitpunkt des Vorfalls unstreitig auch ein der Beklagten bekanntes Risiko gewesen ist. Trotz Kenntnis dieser Möglichkeit und auch des grundsätzlichen Risikos von "Scraping" hat es die Beklagte indessen unterlassen, wirksame Maßnahmen zu treffen, um es Mitarbeitern des Dienstleisters ausreichend zu erschweren, Datensätze zu entwenden. Die Beklagte hat nicht klar verdeutlicht, zu welchem Zeitpunkt welche konkreten Maßnahmen eingesetzt wurden, um einen derartigen Vorfall zu verhindern.

(2) Es kommt insoweit hier nicht darauf an, ob die Beklagte zudem auch gegen Art. 13, 14, 33, 34 Abs. 1 und 2, Art. 15 DSGVO verstoßen hat, indem sie (1) die klagende Partei nicht ausreichend im Sinne der DSGVO über die Verarbeitung der personenbezogenen Daten informierte, weiterhin (2) die klagende Partei nach dem Scraping-Vorfall nicht von der Verletzung des Schutzes der personenbezogenen Daten der klagenden Partei und auch die zuständige Datenschutzbehörde nicht benachrichtigte und (3) der klagenden Partei in nicht ausreichendem Maße oder zu spät Auskunft erteilt hat.

Nicht jeglicher Verstoß gegen die DSGVO ist anspruchsbegründend im Sinne des Art. 82 Abs. 1 DSGVO ist. Vielmehr ist erforderlich, dass der Verstoß im Rahmen einer Verarbeitung der personenbezogenen Daten begangen worden ist (vgl. EuGH, Urteil vom 04.05.23, Rs. C-300/21 = DB 2023, 1280, 1282; Ehmann/Selmayr/Nemitz, Datenschutz-Grundverordnung, 2. Auflage 2018; DSGVO Art. 82 Haftung und Recht auf Schadenersatz, Rn. 8; Sydow/Marsch/Kreße, DSGVO | BDSG, 3. Auflage 2022, DS GVO Art. 82 Haftung und Recht auf Schadensersatz, Rn. 7; Gola/Heckmann/Gola/Piltz, Datenschutz-Grundverordnung - Bundesdatenschutzgesetz, 3. Auflage 2022, DSGVO Art. 82 Haftung und Recht auf Schadenersatz Rn. 5; Schaffland/Wiltfang/Schaffland/Holthaus, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, Artikel 82 Haftung und Recht auf Schadenersatz, Rn. 5). Zwar ist Art. 82 Abs. 1 DSGVO dem Wortlaut nach weit gefasst, wenn als Voraussetzung dort lediglich ein Verstoß gegen die DSGVO verlangt wird. Art. 82 Abs. 1 DSGVO ist jedoch unter Berücksichtigung des Art. 82 Abs. 2 DSGVO und des Erwägungsgrunds 146 DSGVO dahingehend auszulegen, dass von der Schadensersatzpflicht nur solche Schäden umfasst sind, die auf Grund einer Verarbeitung entstehen. Dies folgt zum einen aus dem Wortlaut des Absatzes 2 des Art. 82 DSGVO, der die Anspruchsverpflichtung regelt, und explizit auf eine Verarbeitung Bezug nimmt. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO. Dies steht im Einklang mit dem Wortlaut des Erwägungsgrundes 146 DSGVO, wonach der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DSGVO nicht im Einklang stehen, ersetzen sollte. Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen (vgl. LG Düsseldorf, Urteil vom 28.10.2021 - 16 O 128/20, ZD 2022, 48; LG Essen, Urteil vom 10.11.2022 - 6 O 111/22, GRUR-RS 2022, 34818; abweichend u.a. OLG Köln, Urteil vom 14. Juli 2022 - I-15 U 137/21 - juris).

Das Verhalten der Beklagten, durch welches sie möglicherweise ihre Auskunfts-, Informations- oder Benachrichtigungspflichten verletzt hat, stellt evident keine Verarbeitung im Sinne der oben genannten Legaldefinition dar und löst deshalb auch keinen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO aus.

Ferner begründet ein bloßer Verstoß des Verantwortlichen gegen die DSGVO, ohne dass eine Schadenfolge eintritt, keine Haftung (vgl. EuGH aaO). Einen konkreten ersatzfähigen Schaden durch die (vermeintliche) Verletzung der Auskunfts-, der Informations- und der Benachrichtigungspflicht durch die Beklagte hat die klagende Partei nicht einmal behauptet. So hat sie weder vorgetragen, dass ihr inzwischen ein materieller Schaden entstanden ist, noch welche Sicherheitsmaßnahmen sie nach Kenntnis eingeleitet hat. Auch ist nicht dargelegt, wie die klagende Partei wirkungsvoller einer mutmaßlichen Bedrohung hätte begegnen können, wenn sie frühzeitiger informiert worden wäre. Dies auch angesichts der aus der Anhörung ersichtlich gewordenen Tatsache, dass er seine E-Mail-Adresse nach Bekanntwerden nicht änderte.

Selbst eine hinreichende Substantiierung dieser (bestrittenen) Behauptung unterstellt, wäre die klagende Partei mangels eines entsprechenden Beweisangebotes jedenfalls diesbezüglich beweisfällig geblieben.

b. Die Beklagte hat sich nicht gemäß Art. 82 Abs. 3 DSGVO von der vermuteten Haftung befreit. Die Verantwortung des Anspruchsverpflichteten wird zunächst grundsätzlich vermutet. Nach Art. 82 Abs. 3 DSGVO wird der Anspruchsverpflichtete von der Haftung befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Der Begriff der Verantwortlichkeit wird nicht definiert. Es kann vorliegend dahingestellt bleiben, ob dieser Begriff mit dem Begriff des Verschuldens nach der deutschen Rechtsterminologie gleichzusetzen ist oder ob Art. 82 DSGVO als Gefährdungshaftungstatbestand zu verstehen ist, mit der Folge, dass eine Haftung des Verantwortlichen nur bei atypischen Kausalverläufen oder bei höherer Gewalt entfiele. Der Beklagten gelingt vorliegend nämlich weder der Nachweis fehlenden Verschuldens noch des Vorliegens ganz ungewöhnlicher Kausalverläufe, eines Falles höherer Gewalt oder weit überwiegenden eigenen Fehlverhaltens der klagenden Partei gelungen.

Die Haftungsbefreiung greift bei Annahme, dass ein Verschulden vorauszusetzen ist, nur dann ein, wenn der Verantwortliche sämtliche Sorgfaltsanforderungen erfüllt hat und ihm nicht die geringste Fahrlässigkeit vorzuwerfen ist (vgl. AG Hildesheim, Urteil vom 5. Oktober 2020 - 43 C 145/19; Kühling/Buchner/Bergt, a.a.O., Rn. 54; Spindler/Schuster/Spindler/Horváth, Recht der elektronischen Medien, 4. Auflage 2019, DSGVO Art. 82 Haftung und Recht auf Schadensersatz, Rn. 11; Sydow/Marsch/Kreße, a.a.O., Rn. 20 ("Mitverschulden in Höhe von 100%")).

Wie bereits oben dargestellt, hat die Beklagten in Kenntnis der Gefahr eines SrapingVorfalls keine geeigneten Schutzmaßnahmen getroffen, was zumindest fahrlässig gewesen ist. Ein ungewöhnlicher Kausalverlauf wird schon nicht behauptet. Ebenso kann sie sich auch nicht mit dem Verweis auf das Fehlverhalten des externen Dienstleisters M. S., Ltd der Haftung entziehen, da ein solches gem. Art. 82 Abs. 4 zu einer gesamtschuldnerischen Haftung führt, sodass auch die Beklagte aufgrund der schadensverursachenden Datenverarbeitung auf den Ersatz des gesamten Schadens in Anspruch genommen werden kann.

c. Die klagende Partei erlitt durch das Verhalten der Beklagten einen konkreten ersatzfähigen immateriellen Schaden.

aa) Zunächst geht das Gericht davon aus, dass die Daten der klagenden Partei zu den entwendeten Daten gehören und diese im Darknet angeboten wurden. Unstreitig hat sich die klagende Partei im Jahre 2016 bei der Beklagten angemeldet und sich vor 2019 nicht wieder abgemeldet, so dass ihre Daten 2019 bei der Beklagten gespeichert gewesen sind. Mit E-Mail vom 19.06. hat die Beklagte selbst angegeben, dass sie persönliche Daten des Klägers gespeichert habe.

Zudem hat die klagende Partei dargelegt, dass die Daten der klagenden Partei im Darknet angeboten worden sind, ohne dass die Beklagte dies mit Substanz bestritten hat.

Das reicht dem Gericht zur Überzeugungsbildung aus.

bb) Das Gericht geht zudem davon aus, dass die klagende Partei einen immateriellen Schaden erlitten hat. Der Begriff des Schadens im Sinne des Art. 82 Abs. 1 DSGVO ist nach dem Erwägungsgrund 146 Satz 3 DSGVO weit auszulegen. Die Auslegung soll den Zielen der DSGVO in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (BeckOK Datenschutzrecht, Wolff/Brink/Quaas, 42. Edition, Stand: 01.08.2022, DSGVO Art. 82 Haftung und Recht aus Schadenersatz, Rn. 25c). Ausreichend ist gemäß Art. 82 Abs. 1 DSGVO auch ein immaterieller Schaden. Die Erwägungsgründe 75 und 85 DSGVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen immateriellen Schaden darstellen können, darunter der Verlust der Kontrolle über die eigenen Daten. Allein der Umstand, dass eine betroffene Person in Folge eines Verstoßes gegen die DSGVO befürchtet, dass Ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen "immateriellen Schaden" im Sinne der DSGVO darstellen (vgl. EuGH, Urteil vom 14. Dezember 2023 (C-340/21) Rn. 86). Eine Erheblichkeitsschwelle muss nicht überschritten werden (vgl. EuGH, Urteil vom 04.05.23, Rs. C-300/21 = DB 2023, 1280, 1282).

Vorliegend erlitt die klagende Partei einen Kontrollverlust über ihre personenbezogenen Daten durch die Offenbarung ihrer E-Mail-Adresse, insbesondere auch, aber nicht nur durch die Verknüpfung dieser E-Mail-Adresse mit weiteren personenbezogenen Daten wie Vor- und Nachname und Geburtsdatum der klagenden Partei. Die abgegriffenen und veröffentlichen Daten bedeuten für die klagende Partei ein hohes Risiko, dass diese Daten unbefugt benutzt werden. Dies auch deshalb, weil die Daten im Darknet veröffentlicht wurden, welches bei entsprechender Kenntnis bekanntermaßen für jedermann zugänglich ist. Die negativen Folgen können dabei vielfältig sein und schwere Nachteile mit sich bringen, wie zum Beispiel die Belästigung durch Spam- und Werbenachrichten, die Zusendung von Viren oder vermögenswirksame Handlungen zu Lasten der klagenden Partei, sodass ein Schadensersatzanspruch gerechtfertigt ist.

Nach dem Grundsatz der Verfahrensautonomie unter Berücksichtigung des Äquivalenz- und Effektivitätsgrundsatzes (vgl. dazu nur EuGH Urt. v. 4.5.2023 - C-300/21, GRUR-RS 2023, 8972 Rn. 53) gilt mit Blick auf den haftungsbegründenden - hier immateriellen - Schaden das strenge Beweismaß des § 286 ZPO, das die volle Überzeugung des Gerichts verlangt.

Diese erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet (BGH Urt. v. 23.6.2020 - VI ZR 435/19, VersR 2021, 1497 Rn. 13). Der Tatrichter muss aufgrund der Beweisaufnahme entscheiden, ob er die Behauptung für wahr oder nicht für wahr hält; er darf sich nicht mit einer bloßen, wenn auch erheblichen Wahrscheinlichkeit begnügen (vgl. BGH Urt. v. 1.10.2019 - VI ZR 164/18, NJW 2020, 1072 Rn. 9 m. w. N.).

Mit Anlegung dieses Maßstabs wird auch der Äquivalenzgrundsatz eingehalten, da § 286 ZPO gleichermaßen im deutschen Recht angewandt wird (vgl. zum Nachweis psychischer Störungen BGH Urt. v. 6.12.2022 - VI ZR 168/21, r+s 2023, 130 Rn. 14, 17, 19; siehe auch zur Richtlinienkonformität im Zusammenhang mit der Kraftfahrzeughaftpflichtversicherungsrichtlinie EuGH Urt. v. 15.12.2022 - C-577/21, DAR 2023, 73 Rn. 35 f., 38, 44 f., 49) und die Situation der vermeintlich geschädigten Partei im Anwendungsbereich der DSGVO damit nicht ungünstiger ist (vgl. EuGH Urt. v. 4.5.2023 - C-300/21, GRUR-RS 2023, 8972 Rn. 53, 55).

Dies gilt insbesondere vor dem Hintergrund, dass der Schaden im Einzelfall nach der gefestigten Rechtsprechung des EuGH eben nicht nur tatsächlich, sondern auch "sicher" sein muss (siehe schon oben; vgl. erneut jeweils m. w. N. nur EuGH Urt. v. 13.12.2018 - C-150/17 P, BeckRS 2018, 31923 Rn. 86; EuGH Urt. v. 30.5.2017 - C-45/15 P, BeckRS 2017, 111224 Rn. 61; EuGH Urt. v. 4.4.2017 - C-337/15 P, BeckRS 2017, 105868 Rn. 91-94; EuGH Urt. v. 16.3.2023 - C-522/21, GRUR 2023, 713 [OLG Düsseldorf 23.02.2023 - 2 U 116/22] Rn. 38, 46, 49, EuGH Urt. v. 25.3.2021 - C-501/18, BeckRS 2021, 5310 Rn. 112, 122, 127).

Erst für die Bestimmung des Ausmaßes des einmal festgestellten Schadens kommt § 287 ZPO zur Anwendung (siehe zum "genauen Nachweis" und zur Schadensschätzung EuGH Urt. v. 16.3.2023 - C-522/21, GRUR 2023, 713 [OLG Düsseldorf 23.02.2023 - 2 U 116/22] Rn. 43), wonach für die Überzeugungsbildung eine hinreichende bzw. überwiegende Wahrscheinlichkeit genügen kann (BGH Urt. v. 23.6.2020 - VI ZR 435/19, VersR 2021, 1497 Rn. 13; vgl. zur mehr oder minder hohen (mindestens aber überwiegenden) Wahrscheinlichkeit BGH Urt. v. 17.9.2019 - VI ZR 396/18, r+s 2020, 50 Rn. 13).

Ebenso wenig wird mit Anlegung dieses Maßstabs gegen den Effektivitätsgrundsatz verstoßen. Denn der vermeintlich geschädigten Partei stehen nicht nur die Strengbeweismittel der ZPO zur Beweisführung nach § 286 ZPO offen. Vielmehr kann eine Partei diesen Beweis auch durch ihre Angaben im Rahmen einer Parteianhörung nach § 141 ZPO außerhalb einer förmlichen Parteivernehmung führen (vgl. BGH Urt. v. 6.12.2022 - VI ZR 168/21, r+s 2023, 130 Rn. 19). Damit wird gewährleistet, dass ein aufgrund des Verstoßes gegen die DSGVO konkret erlittener Schaden in vollem Umfang ausgeglichen werden kann (vgl. EuGH Urt. v. 4.5.2023 - C-300/21, GRUR-RS 2023, 8972 Rn. 53, 58, wobei ausdrücklich darauf hingewiesen wird, dass es keines im nationalen Recht nicht vorgesehenen Strafschadensersatzes bedarf).

Vor diesem Hintergrund gibt es auch keine unionsautonome Schadensvermutung noch erfordert der Grundsatz der Effektivität eine solche - im deutschen Recht nicht existente - Schadensvermutung (vgl. eine solche ausdrücklich verneinend GA Campos Sánchez-Bordona Schlussantr. v. 6.10.2022 - C-300/21, GRUR-RS 2022, 26562 Rn. 56 ff., was der EuGH in seiner nachfolgenden Entscheidung nicht beanstandet hat).

Damit hat der Tatrichter gemäß § 286 ZPO die vorgetragenen Beweisanzeichen / Indizien unter Würdigung aller maßgeblichen Umstände des Einzelfalls auf der Grundlage des Gesamtergebnisses der Verhandlung und einer etwaigen Beweisaufnahme zu prüfen. Entscheidend ist die Werthaltigkeit der Beweisanzeichen in der Gesamtschau, nicht die isolierte Würdigung der einzelnen Umstände.

(cc) Der Kläger schildert in seiner persönlichen Anhörung vor dem Landgericht am 31.03.2024, die - wie ausgeführt - einen etwaigen Darlegungsmangel "heilen" und für eine Überzeugungsbildung nach § 286 ZPO ausreichen kann-, Folgendes:

"Wenn ich jetzt gefragt werde, ob ich auch irgendwas gemerkt habe, zum Beispiel in meinem E-Mail-Postfach kann ich sagen, dass ich ein erhebliches Spamaufkommen hatte. Es ist auch so, dass ich aufgrund dessen nachher meine E-Mail-Adresse geändert habe. Wenn ich jetzt auf die Anzahl angesprochen werde, kann ich sagen, dass das im Monat so ungefähr 360 im Spamordner waren. Zusätzlich sind noch einige wenige bei mir im Hauptordner gelandet, vielleicht so um die 20.

Wenn ich jetzt gefragt werde, wann die Zunahme der Spam Mails aufgetreten ist, kann ich sagen, nach meinem Gefühl war das so Ende 18, Anfang 19.

Wenn ich jetzt gefragt werde, wie ich mich gefühlt habe, als ich von dem Datenleck hinsichtlich meiner Daten erfahren habe, kann ich sagen, ich ärgere mich über den Kontrollverlust. Wenn ich meine Daten angebe, hoffe ich, dass diese in verantwortungsvolle Hände geraten. Ich bin ziemlich sensibel bei diesem Thema, weil ich auch berufsbedingt damit zu tun habe. Ich arbeite bei einer Krankenkasse. Ich weiß auch, wie das mit dem Tracking und dem Nutzerverhalten funktioniert. Deswegen gebe ich minimal meine Daten an. Das ärgert mich sehr, dass die Daten jetzt so ohne meine Kontrolle im Internet offengelegt worden sind.

Auf Nachfrage kann ich sagen, dass ich Ende letzten Jahres meine E-Mail-Adresse gewechselt habe.

Wenn ich noch mal auf meine betroffene E-Mail-Adresse angesprochen werde, kann ich sagen, dass das meine Haupt-E-Mail-Adresse war. Irgendwann war es so, dass ich nicht mehr Herr der Spam Mails war. Hotmail hat auch da nicht die optimalsten Bedingungen. Es ist so, dass es ein Aufwand war, dies zu löschen. Es ist jetzt so, dass ich quasi das, was Hotmail macht selbst betreibe. So werde ich Herr meiner Spam Mails. Es ist auch so, dass teilweise von der alten E-Mail-Adresse noch SpamMails weitergeleitet werden an die neue. Es ist so, dass nunmehr Ordnung in meinem Postfach herrscht.

Auf Nachfrage des Klägervertreters, ob ich meine Passwörter geändert habe, kann ich sagen, dass ich das nicht für notwendig gehalten habe, weil ich einen Passwortmanager benutze und jeder Dienst ein eigenes Passwort hat."

Mit dieser Einlassung hat der Kläger seine Behauptungen zu einem konkreten Schaden aufgrund eines Kontrollverlustes aus Sicht des Gerichts schlüssig gemacht und zudem bewiesen.

Soweit die Beklagte meint, ein Schaden könne schon deshalb nicht entstanden sein, weil nach ihrer eigenen Recherche der Kläger bereits durch zeitlich vorhergehende Datenlecks anderer Unternehmen betroffen ist, verfängt dies nicht. Denn gerade die Verknüpfung der hier gescrapten Daten mit der bei anderen Anbietern angegebenen Daten, insbesondere der Telefonnummer der Klagepartei, führt in Kombination zu einer höheren Dimension des Kontrollverlustes hinsichtlich der Daten. Insoweit ist nachvollziehbar, wenn die klagende Partei - bei Wahrunterstellung einer weiteren Betroffenheit, die der Kläger in der informatorischen Anhörung nicht bestätigt hat - auch hinsichtlich dieses streitgegenständlich Vorfalls ein Gefühl der Besorgnis und der Verunsicherung über den Kontrollverlust seiner Daten empfindet.

d. Es liegt auch die erforderliche Kausalität zwischen dem Verstoß der Beklagten gegen die DSGVO und dem Schaden der klagenden Partei vor.

Voraussetzung dafür ist zunächst die Kausalität der festgestellten Datenschutzverstöße für das Scraping. Nach den obigen Ausführungen zu ungenügenden Vorkehrungen im Sinne von Art. 32 und Art. 25 Abs. 1 DSGVO ist davon auszugehen, dass diese Verstöße das Scraping ermöglicht haben.

Auch der immaterielle Schaden ist ursächlich auf die Datenschutzverstöße zurückzuführen, wobei eine Mitursächlichkeit ausreicht (dazu siehe bereits oben).

e. Ein Schadensersatz in Höhe von 200,00 € ist vorliegend angemessen.

Art. 82 Abs. 1 DSGVO macht bezüglich der Höhe des Schadensersatzanspruchs keine Vorgaben, sodass die Ermittlung gemäß § 287 ZPO dem Gericht obliegt. Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs und des Zwecks der betreffenden Verarbeitung, weiterhin das Ausmaß des von der klagenden Partei erlittenen Schadens sowie die betroffenen Kategorien personenbezogener Daten (vgl. LG München I, Urteil vom 09.12.2021 - 31 O 16606/20; BeckOK Datenschutzrecht, Wolff/Brink/Quaas, a.a.O., Rn. 31). Zudem ist das Ziel des Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO zu berücksichtigen, Verstöße gegen die DSGVO effektiv und abschreckend zu sanktionieren. Wesentlich für die Bemessung der Höhe des Schadensersatzes sind die konkreten Umstände des Einzelfalls.

Vorliegend muss bei der Bemessung der Höhe des immateriellen Schadensersatzes der klagenden Partei zunächst berücksichtigt werden, dass der Kontrollverlust über die Daten hier zwar tatsächlich eingetreten ist und die oben beispielhaft dargestellten Risiken für die klagende Partei birgt. Allerdings ist auch zu berücksichtigen, dass die Gefahr von Spam- oder Phishing-Mails auch zum allgemeinen Lebensrisiko gehört, mit welcher auch ohne den Verstoß gegen die DSGVO gerechnet werden muss. Eine gesunde Skepsis gegenüber E-Mails ist damit in gewisser Weise ohnehin angezeigt. Schmerzensgeldmindernd ist zu berücksichtigen, dass es sich sämtlich um Daten aus der - grundsätzlich am wenigsten schutzwürdigen - Sozialsphäre der klagenden Partei nach der Rechtsprechung des Bundesverfassungsgerichts zum allgemeinen Persönlichkeitsrecht handelt. Höhere Schmerzensgelder werden insbesondere dann ausgeurteilt, wenn sensiblere Daten, wie bspw. Gesundheitsdaten, betroffen waren. Ferner war zu berücksichtigen, dass die Beklagte lediglich fahrlässig gehandelt hat und selbst Opfer eines Datendiebstahls durch kriminell handelnde Dritte wurde. Berücksichtigt werden muss daneben für die Bemessung der Schadensersatzhöhe auch die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes, wobei die Kammer die hohe Abschreckungswirkung insbesondere in der Gesamtsumme aller immateriellen Schadensersatzansprüche gegen die Beklagte erblickt und berücksichtigt, dass das Allgemeininteresse im Schwerpunkt nach Art. 83 DSGVO durch die Verhängung von Bußgeldern gewahrt wird. Die Höhe des von der Kammer angesetzten immateriellen Schadensersatzanspruchs berücksichtigt danach auch den Grundsatz der Verhältnismäßigkeit. Unter Abwägung dieser gesamten Gesichtspunkte erachtet das Gericht den ausgeurteilten (immateriellen) Schadensersatz in Höhe von 200,00 € für angemessen, aber auch ausreichend.

2.

Die Entscheidung über die Zinsen folgt aus § 291, § 288 Abs. 1 BGB beginnend ab dem Tag nach Klagezustellung.

3.

Der Feststellungsantrag ist im tenorierten Umfang begründet. Er war im Hinblick auf das feststehende Schadensereignis wie erfolgt abzuändern. Ein zulässiger Feststellungsantrag ist begründet, wenn die sachlichen und rechtlichen Voraussetzungen eines Schadensersatzanspruchs vorliegen, also ein haftungsrechtlich relevanter Tatbestand gegeben ist, der zu möglichen künftigen Schäden führen kann (vgl. BGH, Beschluss vom 9. 1. 2007 - VI ZR 133/06, Rn. 6, beck-online). Es bedarf im Rahmen der Begründetheit keiner darüberhinausgehenden, gewissen Wahrscheinlichkeit des Schadenseintritts. An der Erforderlichkeit eines solchen zusätzlichen Begründungselements hat der BGH - jedenfalls für den Fall, dass Gegenstand der Feststellungsklage ein befürchteter Folgeschaden aus der Verletzung eines deliktsrechtlich geschützten absoluten Rechtsguts ist - Zweifel geäußert (vgl. BGH, Urteil vom 16.01.2001 - VI ZR 381/99). Streitgegenständlich sind die nicht von den Bestimmungen der DSGVO gedeckten Übermittlungen oder Verarbeitungen personenbezogener Daten, welche eine Verletzung des allgemeinen Persönlichkeitsrechts als sonstiges Recht im Sinne des § 823 Abs. 1 BGB darstellen können. Das erkennende Gericht schließt sich diesbezüglich der vom Bundesgerichtshof vertretenen Ansicht ausdrücklich an. Demnach reicht vorliegend bereits die Möglichkeit eines Schadens aus. Es liegen, wie dargelegt, die Voraussetzungen des Schadensersatzanspruches aus Art. 82 Abs. 1 DSGVO vor. Auch die Möglichkeit künftiger materieller Schäden ist zu bejahen. Diese Möglichkeit folgt daraus, dass nicht absehbar ist, welche Dritte möglicherweise Zugriff auf die Daten erhalten haben und für welche kriminellen Zwecke diese möglicherweise missbraucht werden. Es erscheint eben nicht von vorneherein ausgeschlossen, dass die klagende Partei z.B. betrügerische Kontaktaufnahmen erhält, welche sich durch Ausgabe als Bankmitarbeiter Zugriff zu sensiblen Kontodaten der klagenden Partei erschleichen.

4.

Der klagenden Partei stehen keine Unterlassungsansprüche aus § 1004 Abs. 1 S. 2, § 823 Abs. 1 BGB oder § 1004 Abs. 1 S. 2, § 823 Abs. 2 BGB iVm Art. 25 Abs. 1 u. 2 DSGVO oder wegen Verletzung einer vertraglichen Nebenpflicht nach § 241 Abs. 2 BGB zu.

a. Ein Unterlassungsanspruch scheitert bereits an der Sperrwirkung der DSGVO. Die DSGVO sieht individualrechtliche Ansprüche in Art. 17 mit einem Löschungsanspruch und in Art. 82 mit einem Schadensersatzanspruch sowie in Art. 77 und 78 mit Ansprüchen gegen Aufsichtsbehörden vor, nicht aber einen Unterlassungsanspruch gegen den sog. Auftragsverarbeiter oder Verantwortlichen bei einem Datenschutzrechtsverstoß. Zugleich ist die DSGVO angesichts des Anwendungsvorrangs des hierdurch unionsweit vereinheitlichten Datenschutzrechts als abschließend anzusehen (vgl. BGH, Urteil vom 3. Mai 2022 - VI ZR 832/20 -, Rn. 10, juris zum Auslistungsbegehren nach Art. 17 DSGVO). Die klagende Partei kann ihren Anspruch nicht auf sonstige Vorschriften des nationalen deutschen Rechts stützen (vgl. aaO; LG Wiesbaden, Urteil vom 20. Januar 2022 - 10 O 14/21 -, Rn. 39, juris). Wie Art. 17 enthält auch Art. 32 DSGVO, der die Sicherheit der Verarbeitung regelt, eine ausdifferenzierte Güterabwägung und unbestimmte Rechtsbegriffe wie "nach dem Stand der Technik mögliche Sicherheitsmaßnahmen" und "ein dem Risiko angemessenes Schutzniveau", deren Prüfung nicht sinnvoll in das Vollstreckungsverfahren verlagert werden kann und nicht durch einen hiervon abweichenden Unterlassungsanspruch unterlaufen werden darf. Das Recht jeder betroffenen Person auf einen wirksamen gerichtlichen Rechtsbehelf nach Art. 79 Abs. 1 DSGVO bezieht sich ausdrücklich nur auf die ihr aufgrund der DSGVO zustehenden Rechte.

b. Selbst bei einer fehlenden Sperrwirkung der DSGVO wären vorliegend die von der klagenden Partei begehrten, vorbeugenden Unterlassungsansprüche nicht gegeben.

Solche Ansprüche könnten nur auf § 1004 Abs. 1 S. 2 (analog) iVm § 823 Abs. 1 BGB und § 823 Abs. 2 BGB iVm Art. 25 Abs. 1 u. 2 DSGVO gestützt werden, wobei die nicht von den Bestimmungen der DSGVO gedeckte Übermittlung oder Verarbeitung personenbezogener Daten eine Verletzung des allgemeinen Persönlichkeitsrechts als sonstiges Recht im Sinne des § 823 Abs. 1 BGB darstellen würde (vgl. OLG Frankfurt, Urteil vom 14. April 2022 - 3 U 21/20 -, Rn. 29, juris mwN; Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 2. Juli 2021 - 17 U 15/21 -, Rn. 70, juris und vgl. oben unter I 2 b).

Voraussetzung eines jeden vorbeugenden Unterlassungsanspruch ist die Wiederholungsgefahr (vgl. BGH, Urteil vom 19. Oktober 2004 - VI ZR 292/03 -, Rn. 17, juris, mwN), an der es vorliegend fehlt. Zwar begründet eine vorausgegangene, rechtswidrige Beeinträchtigung (Erstbegehung) eine tatsächliche Vermutung für die Wiederholungsgefahr, an deren Widerlegung hohe Anforderungen zu stellen sind (vgl. BGH, Urteil vom 30. Oktober 1998 - V ZR 64/98 -, BGHZ 140, 1-11, Rn. 20). Vorliegend kann die Wiederholungsgefahr aber vollständig dadurch ausgeschlossen werden, dass die Vertragsbeziehung mit M. S., Ltd. seit 2020 beendet ist und ein gleichgelagerter Vorfall nicht mehr erfolge kann.

5.

Auch der auf Auskunft gerichtete Klageantrag hat keinen Erfolg.

Der allein in Betracht kommende datenschutzrechtliche Auskunftsanspruch der klagenden Partei nach Art. 15 DSGVO ist durch Erfüllung nach § 361 BGB erloschen. Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Der klagenden Partei stand nach dieser Vorschrift grundsätzlich ein Auskunftsanspruch über die bei der Beklagten als Verantwortliche im Sinne des Art. 4 Nr. 7 HS. 1 DSGVO verarbeiteten sie betreffenden personenbezogenen Daten zu. Erfüllt ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen (BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19 -, Rn. 17 - 24, juris). Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen (aaO). Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen (aaO). Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (aaO). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll (aaO).

Vorliegend hat die Beklagte gemessen an diesen Grundsätzen, die Auskunft zum Teil vorgerichtlich und im Übrigen während des Rechtsstreits vollständig erfüllt. Das Auskunftsverlangen der klagenden Partei setzt sich aus zwei Teilen zusammen: einem allgemeinen, gerichtet auf die sie betreffenden personenbezogenen Daten und einem besonderen, gerichtet darauf, welche Daten durch welche Empfänger wann bei der Beklagten durch Scraping erlangt werden konnten.

Das allgemeine Auskunftsverlangen hat die Beklagte mit E-Mail vom 12.06.2023 erfüllt. Mit der Klagebegründung zeigt die klagende Partei nicht auf, welche Informationen ihr insoweit fehlen. Die Auskunft ergänzt die Beklagte zudem in ihrer Klagerwiderung.

Was den besonderen Teil des Auskunftsverlangens angeht, kann die klagende Partei diesen auch auf Art. 15 DSGVO stützen. Der Anspruch aus Art. 15 Abs. 1 Nr. 1 c DSGVO umfasst die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Eine Offenlegung liegt schon dann vor, wenn Daten bloß zum Abruf bereitgehalten werden (Kühling/Buchner/Herbst DSGVO Art. 4 Nr. 2 Rn 30). Der Ausdruck "andere Form der Bereitstellung" in Art. 4 Nr. 2 DSGVO verdeutlicht den Charakter der Offenlegung als "Zugänglichmachen" (aaO, Rn. 33). Für die Auskunft über die Empfänger kommt es nicht darauf an, ob die Offenlegung rechtmäßig erfolgte (Gola/Heckmann/Franck DSGVO Art. 15 Rn. 11). Auch entsprechende Schutzverletzungen sind insoweit mitzuteilen (aaO). Der Begriff des Empfängers wird in Art. 4 Nr. 9 S. 1 DSGVO als jede Stelle definiert, der personenbezogene Daten offengelegt wurden (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DSGVO Art. 13 Rn. 28). Er muss kein Dritter iSv Art. 4 Nr. 10 DSGVO sein (aaO).

Die Beklagte hat vorgetragen, dass Mitarbeiter des ehemaligen Dienstleisters M. S., Ltd. der Beklagten Daten nicht gelöscht und abgegriffen haben. Zudem hat sie sich darüber erklärt, welche Daten betroffen waren. Die Beklagte hat vorgetragen, weitere Informationen derzeit nicht zu haben. Der Auskunftsanspruch erstreckt sich jedoch nur so weit, wie der Anspruchsgegner Informationen hat. Ein Datenermittlungs- oder - beschaffungsanspruch ist mit dem Auskunftsrecht nach Art. 15 DSGVO nicht verbunden.

6.

Als Teil des der klagenden Partei zustehenden Schadensersatzanspruchs hat sie gegen die Beklagte des Weiteren einen Anspruch auf Freistellung von den außergerichtlichen Rechtsanwaltskosten, allerdings nur nach einem Gegenstandswert in Höhe von 700,00 €, so dass sich ein Anspruch in Höhe von 159,94 € (1,3 Geschäftsgebühr zzgl. Auslagenpauschale i. H. v. 20,00 € zzgl. Mwst) ergibt. Vorgerichtlich sind als berechtigte Ansprüche nur der immaterielle Schaden (Wert: 200,00 €) und Auskunft (Wert: 250,00 €) sowie Feststellung (Wert: 250,00 €) verlangt worden.

III.

Die Entscheidung über die Kosten beruht auf § 92 Abs. 2 Nr. 1 ZPO, die Entscheidung zur vorläufigen Vollstreckbarkeit auf § 708 Nr. 11, § 711 S. 1 u. 2 ZPO.

IV.

Der Streitwert wird auf 3.500,00 € festgesetzt.

Die Streitwertentscheidung beruht auf § 48 GKG i.V.m. §§ 3, 4, 5 ZPO.

Der Streitwert des Antrags zu 1. bemisst sich nach dem von der klagenden Partei angegebenen Mindestbetrag, mithin in Höhe von 1.000,00 €.

Der Antrag auf Unterlassung wird von der Kammer mit 2.000 € angesichts der zeitlichen Komponente und der Gefahr eintretender Schäden auch unter Berücksichtigung der Wertigkeit des Datenschutzes bemessen. Hierbei wird dem Umstand Rechnung getragen, dass die Rechtsprechung Schäden bei Verstößen gegen die DSGVO eher zurückhaltend bewertet, dies schlägt auf die Unterlassung durch.

Der Antrag zu 4. auf Auskunft und der Antrag auf Feststellung zu 2. sind in diesem Rahmen mit 250,00 € zu bemessen (vgl. auch OLG Hamm, Beschl. v. 17.01.2023, Az. 7 W 3/23, zitiert nach: juris).