Oberlandesgericht Düsseldorf, 16 U 83/24

G r ü n d e

Der Kläger verfolgt in der Berufungsinstanz gegen die Beklagte – nach teilweiser Berufungsrücknahme – noch Ansprüche gerichtet auf Schadensersatz, auf die Feststellung zukünftiger Ersatzpflicht, auf Unterlassung der Datenbereitstellung gegenüber Dritten und auf Freistellung von außergerichtlichen Rechtsanwaltskosten.

Der Kläger nutzte erstmals im Jahr 2015 den Musikstreamingdienst der Beklagten, eines Unternehmens mit Sitz in Frankreich, das den Online-Musikstreamingdienst „www.A..com“ betreibt. Wegen der von der Beklagten in diesem Zusammenhang gespeicherten Stammdaten des Klägers, zu denen auch seine E-Mail-Adresse „000000.com“ gehörte, wird auf die in der Akte befindlichen Abbildungen (Bl. 104-105 GA LG und Bl. 193 GA OLG) Bezug genommen.

Die Beklagte bediente sich – wie in der Berufungsinstanz unstreitig geworden ist – auf der Grundlage eines am 1. Dezember 2016 geschlossenen Vertrags und einer am 18. Juli 2019 geschlossenen Nachtragsvereinbarung mit der B.-Ltd. (Anlage B2a, Bl. 173-187 GA LG) mit Sitz in Israel dieses Unternehmens als externem Auftragsverarbeiter. Die Nachtragsvereinbarung sah unter anderem vor:

„9.1 Vorbehaltlich des Abschnitts 9.2, ist der Anbieter verpflichtet, nach Wahl des Unternehmens entweder (a) eine vollständige Kopie aller Personenbezogenen Daten des Unternehmens durch sichere Dateiübertragung in einem Format, das das Unternehmen dem Anbieter in angemessener Weise mitteilt, an das Unternehmen zurückzusenden und anschließend alle anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, innerhalb von einundzwanzig (21) Kalendertagen nach dem Datum der Beendigung der Dienstleistungen, die die Verarbeitung Personenbezogener Daten des Unternehmens beinhalten (das "Beendigungsdatum"), zu löschen und für die Löschung zu sorgen oder (b) die Daten innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum zu löschen und für die Löschung aller anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, zu sorgen.

[…]

9.3 Der Anbieter muss dem Unternehmen schriftlich bestätigen, dass er und jeder Unterauftragsverarbeiter diesen Abschnitt 9 innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum vollständig eingehalten haben.

[…]

10.1 Vorbehaltlich einer angemessenen schriftlichen Vorankündigung stellt der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zur Verfügung und gestattet Prüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen von ihm beauftragten Prüfer durchgeführt werden, soweit dies vernünftigerweise erforderlich ist, und leistet seinen Beitrag, um:

(i) zu überprüfen, ob der Auftragsverarbeiter (oder ein Unterauftragsverarbeiter) seinen Verpflichtungen gemäß Artikel 28 der DSGVO sowie den Bestimmungen dieses Nachtrags nachkommt;“

Nach der vertraglichen Vereinbarung mit der Beklagten war die B.-Ltd. berechtigt, Unterauftragsverarbeiter einzusetzen. Diese machte hiervon mit Einschaltung des konzernverbundenen Unternehmens C.- Inc. Gebrauch, allerdings ohne dass zwischen den beiden Unternehmen ein schriftlicher Unterauftragsverarbeitungsvertrag geschlossen worden ist.

Das Vertragsverhältnis zwischen der Beklagten und ihrem Auftragsverarbeiter endete am 30. November 2020. Am selben Tag teilte die C.- Inc. der Beklagten per E-Mail (Anlage B4, Bl. 206-207 GA LG) mit, dass bestimmte bis dahin im Auftrag verarbeitete Daten am folgenden Tag gelöscht würden:

„I wanted to notify you that as our contract terminates today, we will be deleting your site and all the data on the site tomorrow. Please confirm receipt of this email.“

Dass die Daten auch tatsächlich gelöscht worden seien, bestätigte die C.- Inc. in Vertretung für die B.-Ltd. der Beklagten erstmals mit einer E-Mail vom 22. Februar 2023 (Anlage B5). Hintergrund dieser Erklärung war, dass ein Hacking-Angriff bekannt geworden war, bei dem von unbekannten Hackern Daten von Kunden der Beklagten erbeutet worden waren. Seit dem 6. November 2022 boten die Hacker diese Daten im Darknet zum Kauf an. Nachdem ihr das bekannt geworden war, verfasste die Beklagte am 10. November 2022 eine Meldung über eine Verletzung des Schutzes personenbezogener Daten an die französische Datenschutzbehörde CNIL (Commission Nationale Informatique & Libertés). Wegen der Einzelheiten der Meldung wird auf diese (Anlage B1a, Bl. 129-153 GA LG) Bezug genommen. Die Beklagte informierte darüber hinaus die Öffentlichkeit am 11. November 2022 mit einem Informationstext auf ihrer Website (Anlage B8, Bl. 247-250 GA LG). Darin hieß es unter anderem:

„Die Daten, die möglicherweise offen gelegt wurden, umfassen grundlegende Informationen wie den Vor- und Nachnamen, das Geburtsdatum und die E-Mail-Adresse.“

Die bei der Beklagten registrierten Nutzer erhielten von ihr zudem eine E-Mail vom 31. Januar 2023 (Anlage B9), die über den Hackerangriff informierte. Danach sollten zu den offen gelegten Daten Informationen wie Namen, Geburtsdaten und E-Mail-Adressen gehören.

Nach den Angaben der Beklagten konnten von dem Hacking-Angriff grundsätzlich folgende Informationen betroffen sein: Name, Vorname, Nutzername, Geburtsdatum, Geschlecht, Sprache, Land, E-Mail-Adresse, User-ID, Daten über die Nutzung des A.-Dienstes (Akquise-Herkunft, kostenloser oder kostenpflichtiger Charakter des Kontos) und Präferenzen (Anzahl der Lieblingssongs, Kommunikationspräferenzen). Die gestohlenen Daten stammten aus dem Jahr 2019.

Mit einer E-Mail vom 14. April 2023 (Anlage RAS01, Bl. 39-48 GA LG) machte der Kläger Ansprüche gegen die Beklagte geltend und verlangte von ihr Auskunft. In der E-Mail hieß es zum Auskunftsverlangen:

„Konkret wird Ihnen aufgegeben, Auskunft darüber zu erteilen, welche personenbezogen Daten unserer Mandantschaft durch Unbefugte erlangt werden konnten, namentlich, welche Daten unserer Mandantschaft welche Empfänger zu welchem Zeitpunkt bei Ihnen durch das Entwenden von Datenbackups oder auf andere Weise unbefugt erlangten.“

Im Juni 2023 räumte die C.- Inc. ein, dass drei ihrer Mitarbeiter die von dem Vorfall betroffenen Datensätze der Beklagten – ohne deren Zustimmung und Wissen – in eine außerhalb der Vertragsbeziehung mit der Beklagten betriebene sogenannte Nicht-Produktivumgebung („non-production environment“) überführt hatten und die Daten entgegen der Vereinbarung mit der Beklagten nicht gelöscht worden waren.

Wegen der weiteren Einzelheiten des Sach- und Streitstands in erster Instanz sowie der dort gestellten Anträge wird gemäß § 540 Abs. 1 Satz 1 Nr. 1 ZPO auf die tatbestandlichen Feststellungen im landgerichtlichen Urteil Bezug genommen, soweit sie denjenigen des Senats nicht widersprechen.

Das Landgericht hat nach Zustimmung der Parteien durch Beschluss vom 18. Januar 2024 das schriftliche Verfahren gemäß § 128 Abs. 2 ZPO angeordnet. Im dem auf den 28. Februar 2024 anberaumten Verkündungstermin hat es die Klage des Klägers durch Urteil abgewiesen. Zur Begründung hat es im Wesentlichen ausgeführt, dass die Klage zum Teil bereits unzulässig und im Übrigen unbegründet sei. Ein Schadensersatzanspruch entsprechend dem Klageantrag zu 1. stehe dem Kläger nicht zu, weil er einen immateriellen Schaden nicht schlüssig dargelegt habe. Ein reiner Kontrollverlust über Daten reiche insoweit nicht aus. Psychische Beeinträchtigungen habe der Kläger nicht schlüssig dargetan, weil dazu konkret-individueller Vortrag gefehlt habe. Das gelte auch, weil der Kläger nicht einmal selbst sagen könne, ob er von dem Datenleck überhaupt betroffen sei. Der vom Kläger verfolgte Feststellungsantrag zu 3. sei unzulässig, weil es an der bei reinen Vermögensschaden notwendigen Wahrscheinlichkeit eines Schadenseintritts fehle. Mangels einer Beeinträchtigung stehe dem Kläger kein Unterlassungsanspruch gegen die Beklagte zu. Der Auskunftsantrag zu 5. sei unbegründet, weil der Auskunftsanspruch des Klägers von der Beklagten erfüllt worden sei. Die Voraussetzungen eines Anspruchs auf Versicherung an Eides statt seien weder vorgetragen noch ersichtlich. Wegen der Erfüllung des Auskunftsanspruchs stehe dem Kläger der mit dem Klageantrag zu 2. verfolgte Anspruch auf Schadensersatz wegen einer unzureichend erteilten Auskunft nicht zu. Erfolglos bleibe auch der vom Erfolg der Hauptforderung abhängige Klageantrag zu 6., der zudem keinesfalls zu verzinsen sei.

Gegen die rechtliche Würdigung des Landgerichts wendet sich der Kläger mit der Berufung, mit der er seine erstinstanzlichen Anträge mit gewissen Umformulierungen weiterverfolgt. Der Kläger behauptet, sein Prozessbevollmächtigter habe sich zwischenzeitlich die im Darknet gehandelte Leak-Liste besorgen können. Daraus ergebe sich ein Datensatz, der belege, dass die darin veröffentlichten Daten, die ihn beträfen, von der Beklagten stammten. Der geltend gemachte Schadensersatzanspruch stehe ihm zu. Der Beklagten seien mehrere Datenschutzverstöße vorzuwerfen. Sie habe die Daten überhaupt nicht an den Auftragsverarbeiter übermitteln dürfen, sie habe sodann nicht überprüft, ob ihr Auftragsverarbeiter die Daten gelöscht habe, ferner fehle es im Verhältnis der B.-Ltd. zur C.- Inc. an einer autorisierten Unterauftragsverarbeitung. Entgegen der Ansicht des Landgerichts reiche der reine Kontrollverlust für einen Schaden im Sinne von Art. 82 DSGVO aus. Ein dem Datenleck bei der Beklagten vorausgegangener Kontrollverlust liege noch nicht darin, dass er seine E-Mail-Adresse in üblichem Umfang anderen zugänglich gemacht habe. Er verwende seine E-Mail-Adresse nur im üblichen Umfang, gebe sie nicht an unbekannte Dritte heraus und verwende sie im Internet nur im Rahmen der Account-Nutzung. Er habe die begründete Befürchtung, dass seine Daten künftig missbräuchlich verwendet würden. Diese Sorge speise sich auch daraus, dass die Daten Eingang in die Leak-Liste gefunden hätten. Soweit ihm das Landgericht diese Sorge vollumfänglich abgesprochen habe, sei dies vermessen. Seine unterbliebene Anhörung sei ein Verfahrensfehler. Sein Feststellungsantrag sei begründet. Es könne nicht davon ausgegangen werden, dass zukünftig alles gut gehen werde. Sein Unterlassungsantrag sei zulässig und begründet, weil nicht auszuschließen sei, dass die Beklagte erneut Erfüllungsgehilfen die Daten zur Verfügung stelle. Begründet sei der Schadensersatzanspruch wegen der unzureichend erteilten Auskunft. Die nicht beantworteten Fragen und die Ungewissheit hätten sein Unwohlsein vertieft. Begründet sei schließlich der Antrag auf Freistellung von vorgerichtlichen Rechtsanwaltskosten.

Der Kläger beantragt – nach teilweiser Berufungsrücknahme im Umfang des vormaligen Berufungsantrags zu 5. (Auskunftsantrag) – abändernd,

1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 3.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über dem jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit zu zahlen;

2. Die Beklagte wird verurteilt, an die Klägerseite für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 2.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über dem jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit zu zahlen;

3. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten bzw. ihrer (ehemaligen) Erfüllungsgehilfen, der nach Aussage der Beklagten im Jahr 2022 erfolgte, entstanden sind und/oder noch entstehen werden;

4. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu € 250.000,00, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, namentlich Vor- und Nachname, Geburtsdatum, E-Mail-Adresse und User-ID Dritten zugänglich zu machen, ohne dass eine Einwilligung der Klägerseite oder ein berechtigtes Interesse der Beklagten vorliegt;

5. Die Beklagte wird verurteilt, die Klägerseite von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von € 887,03 nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit freizuhalten.

Die Beklagte beantragt,

die Berufung zurückzuweisen.

Die Beklagte verteidigt das landgerichtliche Urteil als zutreffend. Sie ist der Ansicht, dass der Kläger nicht als einen Verfahrensfehler rügen könne, vom Landgericht nicht angehört worden zu sein. Die Entscheidung im schriftlichen Verfahren sei im Einvernehmen der Parteien ergangen. Der Berufungsvortrag zu den in einem Datensatz im Darknet aufgefundenen Daten des Klägers sei nicht ordnungsgemäß unter Beweis gestellt worden. Hierfür habe der Datensatz nach § 371 Abs. 1 Satz 2 ZPO zur Verfügung gestellt werden müssen. Sie, die Beklagte, hafte dem Kläger nicht, weil sowohl sie als auch ihr Auftragsverarbeiter lediglich ein dem Risiko angemessenes Schutzniveau hätten vorsehen müssen und auch vorgesehen hätten. Es habe nicht jede Art von Hackerangriff sicher ausgeschlossen werden müssen. Dass ihr Auftragsverarbeiter die Daten eigenmächtig und für vertragsfremde Zwecke verarbeitet habe, sei ihr als Exzess des Auftragsverarbeiters nicht zuzurechnen. Der Kläger habe nicht hinreichend dargelegt, vor dem Hackerangriff noch die Kontrolle über seine Daten gehabt zu haben, und könne sich daher auf einen Kontrollverlust nicht berufen. Das bloße Berufen auf eine bestimmte Gefühlslage ohne negative Folgen begründe ebenso wenig einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO wie das rein hypothetische Risiko einer missbräuchlichen Datenverwendung.

Wegen der weiteren Einzelheiten des Berufungsvorbringens der Parteien wird auf die in der Berufungsinstanz gewechselten Schriftsätze Bezug genommen. Der Senat hat den Kläger im Termin zur mündlichen Verhandlung vom 11. April 2025 persönlich informatorisch angehört. Wegen des Ergebnisses wird auf das Sitzungsprotokoll (Bl. 260-264 GA OLG) verwiesen.

II.

Die Berufung des Klägers ist, soweit sie nicht unzulässig ist, in dem aus dem Tenor ersichtlichen Umfang begründet. In dem weitergehenden Umfang ist sie unbegründet und daher zurückzuweisen.

Die auch in der Berufungsinstanz von Amts wegen zu prüfende internationale Zuständigkeit der deutschen Gerichte folgt aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 Satz 2 DSGVO, weil der Kläger als betroffene Person seinen gewöhnlichen Aufenthalt in Deutschland hat und die Datenschutz-Grundverordnung nach dem Vorbringen der Parteien in zeitlicher, sachlicher und räumlicher Hinsicht anwendbar ist.

Der zeitliche Anwendungsbereich der gemäß Art. 99 Abs. 2 DSGVO am 25. Mai 2018 in Geltung getretenen Datenschutz-Grundverordnung ist eröffnet. Zwischen den Parteien ist in der Berufungsinstanz unstreitig, dass der Kläger im Jahr 2022 und damit zur Zeit der Geltung der Datenschutz-Grundverordnung von möglichen Datenschutzverstößen der Beklagten betroffen war.

Der sachliche Anwendungsbereich der Datenschutz-Grundverordnung ist ebenfalls eröffnet. Gemäß Art. 2 Abs. 1 DSGVO gilt die Datenschutz-Grundverordnung unter anderem für die automatisierte Verarbeitung personenbezogener Daten. Bei den hier im Fokus stehenden Daten des Klägers, die sich in dem sogenannten Leak-Datensatz beziehungsweise der Aufstellung der Beklagten über die bei ihr gespeicherten Stammdaten des Klägers wiederfinden, handelt es sich um solche personenbezogenen Daten, weil sie sich gemäß der Definition in Art. 4 Nr. 1 DSGVO auf eine identifizierte – betroffene – Person beziehen. Dem steht – entgegen der Argumentation der Beklagten – auch nicht entgegen, dass Dritten der Rückschluss auf die Person des Klägers anhand der Daten nicht ohne Weiteres möglich ist. Die Daten wurden bei der Beklagten auch jeweils automatisiert verarbeitet.

Schließlich ist auch der räumliche Anwendungsbereich der Datenschutz-Grundverordnung eröffnet. Gemäß Art. 3 Abs. 1 DSGVO findet die Datenschutz-Grundverordnung auf die Verarbeitung personenbezogener Daten Anwendung, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen in der Europäischen Union erfolgt. Bei der Beklagten handelt es sich um ein Unternehmen nach französischem Recht mit Sitz in Frankreich, mithin mit einer Niederlassung innerhalb der Europäischen Union. Da die Beklagte ihren Streamingdienst für Nutzer in der Europäischen Union betreibt, ist sie auch Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Dass die abgegriffenen Daten zuletzt bei der C.- Inc. in Israel gespeichert waren, ist unerheblich. Der räumliche Anwendungsbereich ist gemäß Art. 3 Abs. 1 DSGVO unabhängig davon eröffnet, ob die Verarbeitung in der Europäischen Union stattfindet.

Unzulässig ist die Berufung, soweit der Kläger mit ihr weiterhin Zinsen aus dem Betrag des Freistellungsantrags bezüglich der außergerichtlichen Rechtsverfolgungskosten verlangt. Die Berufungsbegründung genügt insoweit nicht den Anforderungen des § 520 Abs. 3 Satz 2 Nr. 1 und 3 ZPO. Eine ordnungsgemäße Berufungsbegründung muss danach grundsätzlich alle tragenden Erwägungen beanstanden, mit denen die Entscheidung über die einzelnen Ansprüche in dem angefochtenen Urteil begründet worden ist. Einer solchen im Einzelnen differenzierenden Berufungsbegründung bedarf es nur dann nicht, wenn die Vorinstanz alle Ansprüche aus einem einheitlichen, allen Ansprüchen gemeinsamen Grund für unbegründet erklärt hat (BGH, Urteil vom 27. September 2000 – XII ZR 281/98, juris, Rn. 7). So verhält es sich hier hinsichtlich der mit dem Freistellungsanspruch verbundenen Zinsforderung aber gerade nicht. Zur Begründung der Abweisung der Zinsforderung hat das Landgericht eigenständige Ausführungen gemacht, die über die Abweisung der Nebenforderung wegen ihrer Abhängigkeit von der Hauptforderung hinausgehen. Hiermit setzt sich die Berufungsbegründung überhaupt nicht auseinander.

Soweit die Berufung zulässig ist, ist sie auch teilweise begründet. Das bemisst sich nicht nur nach den Vorschriften der DSGVO, sondern auch nach deutschem Recht, da dieses gemäß Art. 6 Abs. 1 Buchst. b) Rom I-VO anwendbar ist, weil der Kläger Verbraucher ist und die Beklagte als Unternehmen ihre Streamingdienstleistungen auf Deutschland ausgerichtet hat.

Der auf Ersatz eines immateriellen Schadens gerichtete Klageantrag zu 1. ist zulässig und auch teilweise begründet. Dem Kläger steht gegen die Beklagte ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO in Höhe von 200 € nebst Zinsen ab Rechtshängigkeit zu.

aa)

Gemäß Art. 82 Abs. 1 DSGVO setzt ein Schadensersatzanspruch nach dieser Vorschrift einen Verstoß des Verantwortlichen gegen die Datenschutz-Grundverordnung, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus (vgl. auch EuGH, Urteile vom 4. Mai 2023 – C-300/21, ZIP 2023, 1244, 1246, Rn. 32, und vom 25. Januar 2024 – C-687/21, DB 2024, 519, 523, Rn. 58). Hier hat die Beklagte nicht nur gegen die Datenschutz-Grundverordnung verstoßen, sondern der Kläger hat dadurch auch einen ersatzfähigen immateriellen Schaden erlitten. Einen ihm durch Datenschutzverstöße der Beklagten entstandenen materiellen Schaden macht der Kläger nicht geltend.

(1)

Der von Art. 82 Abs. 1 DSGVO für einen Schadensersatzanspruch verlangte Verstoß gegen die Datenschutz-Grundverordnung liegt vor. Dabei kann an dieser Stelle dahinstehen, ob jeder Verstoß gegen materielle oder formelle Bestimmungen der Datenschutz-Grundverordnung oder erst eine verordnungswidrige Datenverarbeitung im Sinne von Art. 82 Abs. 2 Satz 1 DSGVO einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO begründen kann. Da es zu einer verordnungswidrigen Datenspeicherung bei einem Unterauftragsverarbeiter der Beklagten gekommen ist, liegt nicht nur ein Verstoß gegen die Datenschutz-Grundverordnung, sondern auch eine verordnungswidrige Datenverarbeitung vor.

(a)

Gemäß Art. 4 Nr. 2 DSGVO unterfällt dem Begriff der Datenverarbeitung auch jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang der Speicherung. Zum Zeitpunkt des Hacking-Vorfalls waren die personenbezogenen Daten der Nutzer des Streamingdienstes der Beklagten noch bei der C.- Inc. gespeichert, obwohl das Auftragsverarbeitungsverhältnis zwischen der Beklagten und der B.-Ltd. zu diesem Zeitpunkt bereits beendet war.

(b)

Bereits in dieser fortdauernden Speicherung der personenbezogenen Daten liegt ein Verstoß gegen die Datenschutz-Grundverordnung. Nach dem in Art. 5 Abs. 1 Buchst. c DSGVO geregelten Grundsatz der Datenminimierung sind Daten zu löschen, wenn sie für die ursprünglichen Verarbeitungszwecke nicht mehr benötigt werden (EuGH, Urteil vom 4. Oktober 2024 – C-446/21, juris, Rn. 56). Der Verantwortliche ist verpflichtet, den Zeitraum der Erhebung der betreffenden personenbezogenen Daten auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (EuGH, Urteil vom 4. Oktober 2024 – C-446/21, juris, Rn. 52). Eine darüberhinausgehende Speicherung kommt gemäß Art. 5 Abs. 1 Buchst. e DSGVO nach dem Grundsatz der Speicherbegrenzung nur für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke in Betracht. Die Darlegungs- und Beweislast für eine rechtmäßige Datenverarbeitung trägt nach Art. 5 Abs. 2 DSGVO der Verantwortliche (EuGH, Urteil vom 4. Juli 2023 – C-252/21, juris, Rn. 95), hier also die Beklagte. Danach war die Datenverarbeitung rechtswidrig. Die Beklagte führt keinen Rechtfertigungsgrund für die vorgenannte Datenverarbeitung an. Sie macht insbesondere selbst nicht geltend, dass die Speicherung über die Dauer des Auftragsverarbeitungsverhältnisses hinaus notwendig war.

(c)

Für den Schadensersatzanspruch des Klägers aus Art. 82 Abs. 1 DSGVO kommt es auch nicht darauf an, ob der Beklagten über diesen Datenschutzverstoß hinaus noch weitere Datenschutzverstöße anzulasten sind. Das Vorliegen mehrerer Datenschutzverstöße auf dem Weg zu dem schadensauslösenden rechtswidrigen Datenverarbeitungsvorgang bleibt auf die Höhe eines etwaigen Schadensersatzanspruchs ohne Auswirkungen (siehe EuGH, Urteil vom 11. April 2024 – C-741/21, juris, Rn. 64 f.).

(2)

Der in der fortgesetzten Speicherung bei der C.- Inc. liegende Datenschutzverstoß ist der Beklagten als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO auch nach Art. 82 Abs. 2 Satz 1 DSGVO zuzurechnen. Die Beklagte hat nicht nachgewiesen, dass ihr die Datenspeicherung, die zum Schaden geführt hat, nicht zugerechnet werden kann. Einen entsprechenden Nachweis hätte sie erbringen müssen (vgl. EuGH, Urteil vom 21. Dezember 2023 – C-667/21, juris, Rn. 103), hat ihn aber nicht erbracht.

Eine Haftungsbefreiung setzt gemäß Art. 82 Abs. 3 DSGVO den Nachweis des Verantwortlichen voraus, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Aus diesem Grund kann dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gemäß den Art. 5, 24 und 32 der Datenschutz-Grundverordnung obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt (siehe EuGH, Urteil vom 11. April 2024 – C-741/21, juris, Rn. 51). Nichts anderes gilt im Verhältnis des Verantwortlichen zum Auftragsverarbeiter.

Dieser notwendige Nachweis scheitert hier daran, dass die Beklagte den Anforderungen des Art. 24 Abs. 1 Satz 1 DSGVO nicht genügt und keine ausreichenden organisatorischen Maßnahmen getroffen hat, um sicherzustellen, dass die der B.-Ltd. zur Auftragsverarbeitung übertragenen Daten nach dem Ende des Auftragsverarbeitungsverhältnisses gelöscht werden. Die Beklagte hat ihre Auftragsverarbeiter – letztlich unstreitig – nicht hinreichend kontrolliert. Sie bezieht sich allein auf eine E-Mail der C.- Inc. vom 30. November 2020 (Anlage B4). Die darin enthaltene Ankündigung, dass alle Daten auf ihrer Seite gelöscht würden, genügte aber nicht einmal den vertraglichen Mindestanforderungen an eine Löschungsmitteilung in dem Rechtsverhältnis zwischen der Beklagten und der B.-Ltd. Weder erkundigte sich die Beklagte bei der C.- Inc. im Anschluss, ob die Löschung auch durchgeführt worden ist, noch verlangte sie einen Nachweis hierüber. Das hat den in der fortgesetzten Speicherung durch die C.- Inc. liegenden Datenschutzverstoß erst ermöglicht. Wäre die Beklagte ihren Kontrollpflichten nachgekommen, wäre aufgefallen, dass die Daten entgegen der Ankündigung nicht gelöscht worden sind.

Damit steht einer Zurechnung des Datenschutzverstoßes – entgegen der Meinung der Beklagten – auch kein Exzess des Unterauftragsverarbeiters entgegen. Zwar erstreckt sich die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters nach der Rechtsprechung des Gerichtshofs der Europäischen Union zu Art. 83 DSGVO nicht auf Fälle, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte (EuGH, Urteil vom 5. Dezember 2023 – C-683/21, juris, Rn. 85). Dieser Grundsatz greift aber im Rahmen des Art. 82 DSGVO jedenfalls dann nicht ein, wenn erst mangelnde organisatorische Vorkehrungen den Datenschutzverstoß des Auftragsverarbeiters ermöglicht haben. Kommt es erst aufgrund unzureichender organisatorischer Maßnahmen, etwa – wie hier – infolge fehlender Kontrollen, zu einem Exzess des Auftragsverarbeiters, bleibt der Verantwortliche in der Verantwortung (vgl. Taeger/Gabel, in: dies., DSGVO – BDSG – TTDSG, 4. Aufl., Art. 82 DSGVO Rn. 24).

(3)

Die Beklagte kann nicht mit Erfolg geltend machen, dass der Kläger von dem Datenschutzverstoß nicht betroffen gewesen ist. Wären die Kundendaten der Beklagten mit der Beendigung des Auftragsverarbeitungsverhältnisses zur B.-Ltd. bei der C.- Inc. gelöscht worden, hätten die Hacker darauf im Jahr 2022 keinen Zugriff mehr nehmen können. Dass und welche Daten ihrer Kunden dort zum Zeitpunkt des Hacker-Angriffs noch gespeichert waren, kann die Beklagte nicht gemäß § 138 Abs. 4 ZPO mit Nichtwissen bestreiten. Sie hätte sich in der Kette ihrer Auftragsverarbeiter vielmehr erkundigen können und auch müssen, welche Daten nicht gelöscht wurden und damit dem Zugriff der Hacker ausgesetzt waren. Hiervon abgesehen ist die Beklagte dem Vortrag des Klägers, dass seine E-Mail-Adresse, die bei der Beklagten zu den Stammdaten zählte, nach dem Rechercheergebnis auf die Website „www.000000.com“ von dem Hacker-Angriff betroffen gewesen ist, nicht entgegengetreten. Ist nach dem sich hieraus ergebenden Gesamtbild aber anzunehmen, dass die E-Mail-Adresse des Klägers von dem Datenabgriff betroffen war, kann die Beklagte nicht allgemein in Zweifel ziehen, dass sich die Betroffenheit des Klägers auf weitere bei ihr gespeicherte Daten nicht erstreckte, obwohl sie zuvor außergerichtlich öffentlich eingeräumt hatte, dass diese von dem Datenabgriff grundsätzlich betroffen sein könnten. Für ein qualifiziertes Bestreiten würde es dann erforderlich sein, näher auszuführen, aus welchen Gründen die vom Kläger preisgegebenen personenbezogenen Daten ausnahmsweise spärlicher ausgefallen sind.

(4)

Dem Kläger ist infolge des Datenschutzverstoßes der Beklagten, der den Hackern den Zugriff auf die Daten des Klägers erst ermöglichte, auch ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO entstanden.

(a)

Der Begriff des „immateriellen Schadens“ in Art. 82 Abs. 1 DSGVO ist in Ermangelung eines in der Vorschrift enthaltenen Verweises auf das innerstaatliche Recht der Mitgliedstaaten autonom unionsrechtlich zu bestimmen. Maßgeblich ist danach das Begriffsverständnis, wie es in der Rechtsprechung des Gerichtshofs der Europäischen Union ausgeformt worden ist. Zwar soll nach Erwägungsgrund 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen der Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr ist darüber hinaus der Eintritt eines Schadens durch diesen Verstoß erforderlich.

Ein haftungsbegründender immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO kann jedoch nach der Rechtsprechung des Gerichtshofs schon in dem – selbst kurzzeitigen – Verlust der Kontrolle über personenbezogene Daten liegen, ohne dass der Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Insofern schließt sich der Senat nach nochmaliger eigener Prüfung der Rechtsprechung des Gerichtshofs dem vom Bundesgerichtshof hierzu vertretenen Verständnis an (vgl. BGH, Urteile vom 18. November 2024 – VI ZR 10/24, juris, Rn. 30, und vom 11. Februar 2025 – VI ZR 365/22, juris, Rn. 15). Unter einem Verlust der Kontrolle versteht der Senat dabei eine Situation, in der der Betroffene seine personenbezogenen Daten nicht mehr beherrschen kann, weil sie etwa an ihm unbekannte Dritte gelangt oder ohne nennenswerte Eingrenzung preisgegeben sind. Das ist der Fall bei einem Scraping sowie bei einer Veröffentlichung der Daten im Internet, aber noch nicht – beispielsweise – bei einer Weitergabe der Telefonnummer an bestimmte Empfänger oder ihre Verwendung zur Zwei-Faktor-Authentifizierung bei Nutzung von Benutzerkonten (Accounts). In einem solchen Fall sind die Daten noch nicht allgemein veröffentlicht (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 41).

(b)

Diesen Anforderungen wird der Vortrag des Klägers spätestens in der Berufungsinstanz jedenfalls insoweit gerecht, als er dort vorgetragen hat, dass sich in der von den Hackern im Darknet veröffentlichten Leak-Liste auch Daten von ihm – nämlich Nachname, Land und E-Mail-Adresse – befänden. Der Kläger hat hierzu in der Berufungsbegründung zudem sinngemäß vorgetragen, diese und weitere bei der Beklagten gespeicherte Daten nicht schon zuvor allgemein veröffentlicht, sondern nur im üblichen Umfang anderen zugänglich gemacht zu haben.

Die Beklagte hat zwar bestritten, dass der Kläger die Kontrolle über seine Daten erst mit dem Datenabgriff bei der C.- Inc. verloren hat. Dieser Vortrag genügt jedoch nicht den Anforderungen an ein in diesem Fall zu forderndes qualifiziertes Bestreiten. Die vom Kläger behauptete negative Tatsache, die Kontrolle über die Daten nicht schon zuvor verloren zu haben, sie insbesondere nicht im Internet allgemein veröffentlicht zu haben, hätte sie mit der konkreten Angabe bestreiten müssen, wodurch ein Kontrollverlust schon zuvor eingetreten sein soll (vgl. zu dieser sekundären Darlegungslast BGH, Urteile vom 11. Oktober 2007 – IX ZR 105/06, juris, Rn. 12, und vom 8. Januar 2019 – II ZR 139/17, juris, Rn. 31; auch BAG, Urteil vom 16. Dezember 2021– 2 AZR 356/21, juris, Rn. 31 ff.). Einen solchen Vortrag hat sie jedoch nicht gehalten.

(5)

Die Höhe des dem Kläger gemäß Art. 82 Abs. 1 DSGVO für den ihm entstandenen immateriellen Schaden zustehenden Schadensersatzes bemisst sich nach den schadensersatzrechtlichen Grundsätzen des deutschen Rechts.

(a)

Die Datenschutz-Grundverordnung enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DSGVO geschuldeten Schadensersatzes. Insbesondere können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DSGVO genannten Kriterien herangezogen werden. Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 93). In Deutschland ist damit insbesondere die Verfahrensvorschrift des § 287 ZPO anzuwenden.

Bei der Ermittlung des nach Art. 82 Abs. 1 DSGVO zu ersetzenden Schadens unterliegt die innerstaatliche Verfahrensautonomie allerdings den sich aus dem unionsrechtlichen Äquivalenz- und Effektivitätsgrundsatz ergebenden Einschränkungen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 94). Eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ist in Anbetracht der Ausgleichsfunktion des in dieser Vorschrift vorgesehenen Schadensersatzanspruchs als „vollständig und wirksam“ im Sinne von Erwägungsgrund 146 Satz 6 DSGVO anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die Datenschutz-Grundverordnung konkret erlittenen Schaden in vollem Umfang auszugleichen. Eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DSGVO nicht erfüllen. Infolgedessen darf bei der Bemessung einer Geldentschädigung weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch – wie bereits ausgeführt – der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen hat oder ob er vorsätzlich oder fahrlässig gehandelt hat (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 96).

Im Ergebnis soll die zuzusprechende Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausgeht. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 97). Dies gilt auch unter Berücksichtigung des Umstands, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger gewichtig ist als eine Körperverletzung (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 97).

(b)

Bei der auf § 287 ZPO gestützten Bemessung des Entschädigungsbetrags sind dann, wenn ein Schaden nur in Form eines Kontrollverlusts an personenbezogenen Daten eingetreten ist, weil weitere Schäden nicht nachgewiesen sind, bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckmäßige Verwendung zu berücksichtigen. Zudem sind die Art des Kontrollverlusts, die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet oder Änderung des personenbezogenen Datums in den Blick zu nehmen. In Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich ist, kann auch der hypothetische – insbesondere finanzielle – Aufwand für die Wiedererlangung der Kontrolle als Anhalt für einen effektiven Schadensausgleich dienen (siehe zum Ganzen BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 99).

(c)

Nach diesen Maßgaben wird der dem Kläger mit dem reinen Kontrollverlust entstandene Schaden mit einem Betrag von 100 € effektiv ausgeglichen. Das ergibt eine Gesamtwürdigung der im Fall des Klägers maßgeblichen Umstände.

Für die Bemessung des Schadensersatzbetrags entscheidend ist der vom Kläger erlittene Verlust der Kontrolle über seine E-Mail-Adresse, zumal diese – für Dritte leicht erkennbar – bereits insofern personalisiert ist, als sie seinen Nachnamen als Bestandteil enthält. Die weiteren von der Beklagten als bei ihr gespeichert zugestandenen Daten des Klägers spielen, mit Ausnahme der Sprache und des Landes, demgegenüber eine nur untergeordnete und nicht ausschlaggebende Rolle, selbst in der ebenfalls dem Kontrollverlust unterliegenden Kombination mit der E-Mail-Adresse. Das sieht ersichtlich auch der Kläger selbst so, wie sich aus seiner Erklärung zur A.-User-ID im Rahmen seiner informatorischen Anhörung ergibt. Dabei ist auch zu berücksichtigen, dass er den Musikstreamingdienst der Beklagten nach den tatbestandlichen Feststellungen im landgerichtlichen Urteil zuletzt im Jahr 2016 genutzt hat („zuletzt im Jahr 2016 bei „A.“ eingeloggt“). Eine nennenswerte Vertiefung des Kontrollverlusts seit dem Datenabgriff im Jahr 2022 ist zudem nicht erkennbar. Zwar erscheint es wenig wahrscheinlich, dass der Kläger die Kontrolle über seine Daten zurückerlangen wird. Es spricht jedoch manches dafür, dass ein an den Daten gegebenenfalls bestehendes Interesse Dritter mit fortschreitender Zeit abnimmt, so dass der durch den Datenschutzverstoß der Beklagten herbeigeführte Kontrollverlust an Bedeutung verlieren könnte. Mithilfe der Daten ist im Übrigen lediglich eine Kontaktaufnahme mit dem Kläger möglich. Zwar kann die E-Mail-Adresse auch zur Übersendung von werbenden, belästigenden oder sogar betrügerischen Spam-Mails genutzt werden. Zu einem etwaigen materiellen Schaden führen solche Spam-Mails jedoch nicht ohne weitere Zwischenschritte. Gegen diese kann sich der für die Gefahr sensibilisierte Kläger durch Achtsamkeit wappnen. Bei den vom Kontrollverlust betroffenen Daten handelt es sich zudem nicht um höchst sensible Daten des Klägers, etwa Gesundheits- oder vergleichbar intime Daten, deren Verbreitung in der Öffentlichkeit dem Ansehen oder dem Fortkommen des Klägers schaden könnte (vgl. auch BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 42). Die im Rahmen seiner informatorischen Anhörung anklingende gegenteilige Besorgnis des Klägers teilt der Senat – auch unter Berücksichtigung der beruflichen Tätigkeit des Klägers – nicht. Es kommt hinzu, dass die E-Mail-Adresse ohnehin regelmäßig der Kontaktaufnahme mit Dritten dient und zu diesem Zweck anderen zugänglich gemacht wird. Allein dadurch besteht immer die Gefahr, dass eine bis zu einem bestimmten Zeitpunkt kontrollierte Weitergabe der E-Mail-Adresse irgendwann nicht mehr kontrollierbar ist, weil schlechterdings niemand vollumfänglichen Einfluss darauf haben kann, wie Dritte mit der E-Mail-Adresse umgehen. Zu berücksichtigen ist schließlich, dass der Kläger einen Wechsel seiner E-Mail-Adresse wegen deren Nutzung im Rahmen seiner aktuellen Fortbildung bei der Handwerkskammer Düsseldorf derzeit zwar scheut, sich aus diesem Umstand aber nicht ergibt, dass ein Wechsel schlechterdings ausgeschlossen ist.

Da sich ein Schadensersatzanspruch in der eingangs genannten Höhe bereits allein aus der Betroffenheit des Klägers von dem Datenabgriff durch unbekannte Hacker und dem damit verbundenen Kontrollverlust ergibt, kommt es nicht entscheidend darauf an, ob der Kläger im Einklang mit § 371 Abs. 1 Satz 2 ZPO nachgewiesen hat, dass sich nachfolgend drei seiner Daten in einem bestimmten Leak-Datensatz im Darknet finden.

(d)

Der dem Kläger für den reinen Kontrollverlust zuzusprechende Betrag von 100 € ist um einen Betrag von weiteren 100 € für die besonderen Sorgen zu erhöhen, die der Kläger im Zusammenhang mit dem Kontrollverlust empfindet.

Mit dem Kontrollverlust verbundene negative Gefühle wie Ängste und Befürchtungen sowie in der Auseinandersetzung mit dem Scraping-Vorfall und dem Schutz vor künftigem Datenmissbrauch aufgewandte Zeit und Mühe stellen Umstände dar, die einen bereits mit dem reinen Kontrollverlust eingetretenen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO vertiefen oder vergrößern können (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 31, 35 und 45). Das gilt jedenfalls dann, wenn sie über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 101). Auch eine etwaige psychische Belastung durch Spam-Anrufe und Spam-SMS, die auf den Kontrollverlust zurückzuführen sind, kann den immateriellen Schaden vergrößern.

Nach informatorischer Anhörung des im Polizeidienst tätigen Klägers ist der Senat davon überzeugt, dass sich der Kläger wegen des Kontrollverlusts über seine Daten, konkret des Verlusts der Kontrolle über seine E-Mail-Adresse, Sorgen darüber macht, welche beruflichen Weiterungen sich daraus für ihn noch ergeben könnten. Dabei handelt es sich – auch wenn diese Besorgnis aus Sicht des Senats wenig begründet erscheint – immer noch um eine der Zurechnung unterliegende seelische Reaktion. Die Zurechnung von Schäden scheitert grundsätzlich nicht daran, dass sie auf einer konstitutiven Schwäche des Verletzten beruhen (BGH, Urteil vom 30. April 1996 – VI ZR 55/95, juris, Rn. 17). Dass eine besondere Schadensanfälligkeit des Verletzten dem Schädiger haftungsrechtlich zuzurechnen ist, gilt grundsätzlich auch für psychische Schäden, die regelmäßig aus einer besonderen Labilität des Betroffenen erwachsen (BGH, Urteil vom 30. April 1996 – VI ZR 55/95, juris, Rn. 18). Einen nicht mehr zuzurechnenden Extremfall, in dem die psychische Reaktion in keinerlei verständlichem Verhältnis zu dem schädigenden Ereignis mehr steht (vgl. BGH, Urteil vom 30. April 1996 – VI ZR 55/95, juris, Rn. 21), vermag der Senat hier nicht zu sehen.

Die betreffende seelische Reaktion des Klägers rechtfertigt unter Berücksichtigung aller Umstände des Falles eine Erhöhung des Schadensersatzbetrags um 100 €. Eine weitere Erhöhung des Schadensersatzbetrags aufgrund weiterer Folgen des Datenschutzverstoßes scheidet hingegen aus.

Das Landgericht hat keine weiteren nachteiligen Folgen des Datenschutzverstoßes festgestellt. Zwar lässt sich dem landgerichtlichen Urteil nicht entnehmen, von welchem Beweismaßstab das Landgericht ausgegangen ist. Steht der geltend gemachte Schadensersatzanspruch dem Grunde nach fest, reicht für die richterliche Entscheidung über die Schadenshöhe gemäß § 287 ZPO eine erhebliche, auf gesicherter Grundlage beruhende Wahrscheinlichkeit für die richterliche Überzeugungsbildung aus (BGH, Urteil vom 11. März 2022 – V ZR 35/21, juris, Rn. 30). So verhält es sich hier, weil der Senat – abweichend von dem Landgericht – schon den reinen Kontrollverlust als den haftungsbegründenden Schaden ansieht. Doch auch unter Anlegung des abgesenkten Beweismaßstabs des § 287 ZPO kann der Senat – mit Ausnahme der von ihm anerkannten seelischen Beeinträchtigung des Klägers – im Rahmen einer eigenen Würdigung auch der Bekundungen des von ihm informatorische angehörten Klägers keine Beeinträchtigung des Klägers durch den Kontrollverlust feststellen, die über die Unannehmlichkeiten hinausgeht, die jedermann durch einen solchen Kontrollverlust erleidet. Zwar hat der Kläger eine erhebliche Belästigung durch Spam-Mails bekundet. Angesichts der denkbar vielfältigen Ursachen für Spam-Mails kann sich der Senat aber keine Überzeugung davon bilden, dass die vom Kläger beschriebene Spam-Belastung gerade auf den Datenschutzverstoß der Beklagten zurückzuführen ist. Aus eigener Erfahrung ist dem Senat bekannt, dass es zu Spam-Mails auch kommen kann, wenn der Musikstreamingdienst von A. nicht genutzt wird. Soweit der Kläger im Rahmen seiner informatorischen Anhörung angegeben hat, auch Spam-Mails mit Namensanrede zu erhalten, gibt auch dies dem Senat keinen Anlass zu einer anderen Bewertung. Da sich eine Ursächlichkeit des Datenschutzvorfalls nicht feststellen lässt, kann auch dahinstehen, ob schon der Erhalt von Spam-Mails ohne weitere Folgen einen immateriellen Schaden darstellen oder diesen vertiefen kann.

(e)

Der Schadensersatzanspruch des Klägers ist auch nicht aufgrund eines im bislang unterbliebenen Wechsel der E-Mail-Adresse zu sehenden Mitverschuldens zu kürzen. Dass der Kläger seine E-Mail-Adresse bislang nicht gewechselt hat, dies aber grundsätzlich könnte, ist bei der Bemessung des Schadensersatzbetrags vom Senat bereits berücksichtigt worden.

bb)

Der vom Kläger mit dem Klageantrag zu 1. ebenfalls verfolgte Anspruch auf Zinsen aus dem Betrag der Hauptforderung ab dem Zeitpunkt der Rechtshängigkeit ergibt sich dem Grunde und der Höhe nach aus § 291 i.V.m. § 288 Abs. 1 Satz 2 BGB. Der Zinsanspruch besteht damit ab dem auf die Zustellung der Klageschrift folgenden Tag, dem 26. August 2023.

Der vom Kläger mit der Berufung weiterverfolgte Anspruch auf Schadensersatz wegen einer von der Beklagten vorgeblich unzureichend erteilten außergerichtlichen Auskunft nach Art. 15 DSGVO steht dem Kläger aus Art. 82 Abs. 1 DSGVO hingegen nicht zu. Der Senat kann auch nach eigener informatorischer Anhörung des Klägers nicht feststellen, dass ihm im Zusammenhang mit der außergerichtlichen Auskunft der Beklagten ein immaterieller Schaden entstanden ist.

Der vom Kläger mit der Berufung weiterverfolgte Feststellungsantrag ist in der von ihm zuletzt zur Entscheidung gestellten Fassung zulässig und auch begründet.

aa)

100

Wie der Senat bereits in der Vergangenheit entschieden hat, ist die bloße Möglichkeit des künftigen Eintritts materieller Schäden zum Maßstab für die Annahme des gemäß § 256 Abs. 1 ZPO erforderlichen Feststellungsinteresses zu nehmen. Eine darüber hinausgehende Schadenswahrscheinlichkeit ist nicht erforderlich. Die Möglichkeit zukünftiger Schäden reicht im vorliegenden Fall aus, weil es nicht um reine Vermögensschäden geht, sondern um Schäden, die aus der vom Kläger behaupteten Verletzung seines Rechts auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, mithin seines allgemeinen Persönlichkeitsrechts als einem sonstigen absolut geschützten Rechtsgut im Sinne von § 823 Abs. 1 BGB, resultieren. Auch die hier primär herangezogene Vorschrift des Art. 82 Abs. 1 DSGVO hat, soweit – wie hier – auch eine unrechtmäßige Datenverarbeitung gerügt wird, eine Verletzung des Rechts auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh zum Inhalt. Dabei kann die Möglichkeit ersatzpflichtiger zukünftiger Schäden ohne Weiteres zu bejahen sein, wenn ein deliktsrechtlich geschütztes absolutes Rechtsgut verletzt wurde und dadurch bereits ein Schaden eingetreten ist (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 48).

101

Wie der Bundesgerichtshof nach Erlass des landgerichtlichen Urteils entschieden hat, ist danach die Möglichkeit des Eintritts künftiger Schäden in einem Fall wie dem vorliegenden ohne Weiteres zu bejahen. Durch den Verstoß der Beklagten gegen die Datenschutz-Grundverordnung ist der Kläger jedenfalls in seinem Recht auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh verletzt worden. Mit dem fortdauernden Kontrollverlust infolge der Veröffentlichung der Daten im Internet besteht auch das Risiko einer missbräuchlichen, insbesondere betrügerischen Nutzung dieser Daten mit der Folge eines materiellen Schadens bis heute fort.

102

bb)

103

Der Feststellungsanspruch besteht auch in der Sache. Entstünden dem Kläger aufgrund des feststehenden Datenschutzverstoßes der Beklagten zukünftig materielle Schäden, so wären nach den vorangegangenen Ausführungen insoweit die Voraussetzungen einer Haftung der Beklagten aus Art. 82 Abs. 1 DSGVO gegeben. Das gilt etwa bei einer zukünftigen Beeinträchtigung seines beruflichen Werdegangs infolge des Kontrollverlusts über seine E-Mail-Adresse.

104

105

Der mit dem Berufungsantrag zu 4. weiterverfolgte Unterlassungsantrag ist unzulässig. Der Antrag genügt nicht den Bestimmtheitsanforderungen des § 253 Abs. 2 Nr. 2 ZPO.

106

aa)

107

Ein Klageantrag ist hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Ein Unterlassungsantrag darf nicht derart undeutlich gefasst sein, dass die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsverfahren überlassen bleibt (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 52).

108

bb)

109

Gemessen hieran ist der Unterlassungsantrag, mit dem der Kläger begehrt, dass die Beklagte es unterlasse, personenbezogene Daten von ihm Dritten zugänglich zu machen, ohne dass eine Einwilligung von ihm oder ein berechtigtes Interesse Beklagten vorliegt, nicht hinreichend bestimmt. Er lässt sich auch unter Heranziehung des Klagevorbringens nicht in einer Weise auslegen, dass der Kläger ein hinreichend bestimmtes Unterlassen begehrt. Insbesondere der Begriff des „Dritten“ ist unbestimmt (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 56).

110

111

Dem Kläger steht gegen die Beklagte infolge des von der Beklagten begangenen Datenschutzverstoßes aus Art. 82 Abs. 1 DSGVO i.V.m. § 257 BGB schließlich ein auf Freistellung von vorgerichtlichen Rechtsanwaltskosten gerichteter Anspruch in der aus dem Tenor ersichtlichen Höhe zu.

112

aa)

113

Die Kosten der Rechtsverfolgung und deshalb auch die Kosten eines mit der Sache befassten Rechtsanwalts gehören, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren, grundsätzlich zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden. Dabei ist maßgeblich, wie sich die voraussichtliche Abwicklung des Schadensfalls aus der Sicht des Geschädigten darstellt. Ist die Verantwortung für den Schaden und damit die Haftung von vornherein nach Grund und Höhe derart klar, dass aus der Sicht des Geschädigten kein vernünftiger Zweifel daran bestehen kann, dass der Schädiger ohne Weiteres seiner Ersatzpflicht nachkommen werde, so wird es grundsätzlich nicht erforderlich sein, schon für die erstmalige Geltendmachung des Schadens gegenüber dem Schädiger einen Rechtsanwalt hinzuzuziehen. In derart einfach gelagerten Fällen kann der Geschädigte den Schaden grundsätzlich selbst geltend machen, so dass sich die sofortige Einschaltung eines Rechtsanwalts nur unter besonderen Voraussetzungen als erforderlich erweisen kann (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 79).

114

bb)

115

Nach diesen Maßstäben sind dem Kläger die Rechtsanwaltskosten zu ersetzen, die auf die außergerichtliche Geltendmachung des begründeten Schadensersatzbetrags von 200 €, auf das mit einem Wert von 500 € zu bemessende Verlangen nach einer Anerkennung zukünftiger Ersatzpflicht und das mit dem vorgerichtlichen Schreiben des Prozessbevollmächtigten des Weiteren formulierte Auskunftsbegehren – dem der Senat ebenfalls einen Wert von 500 € zumisst – entfallen.

116

Nach den Umständen, insbesondere wegen der für ihn unübersichtlichen Rechtslage und aus Gründen des Sachzusammenhangs, durfte der Kläger aufgrund des Datenschutzverstoßes der Beklagten eine Beauftragung seines Prozessbevollmächtigten auch im Umfang des auf Art. 15 DSGVO gestützten Auskunftsverlangens für erforderlich und zweckmäßig halten, das damals wegen der seinerzeit noch nicht erteilten Auskunft noch begründet war.

117

Weitere außergerichtliche Anträge sind bei Berechnung der 1,3 Geschäftsgebühr nach Nr. 2300 VV RVG hingegen nicht zu berücksichtigen. Die Rechtsanwaltskosten, die auf das mit dem vorgerichtlichen Schreiben formulierte Unterlassungsbegehren entfallen, sind nicht erstattungsfähig. Das Unterlassungsbegehren ist auch im gerichtlichen Verfahren erfolglos geblieben.

118

cc)

119

Soweit der Kläger mit der Berufung auch einen Anspruch auf Rechtshängigkeitszinsen aus dem Freistellungsbetrag weiterverfolgt, ist seine Berufung – wie eingangs bereits ausgeführt – bereits unzulässig. Auch in der Sache stünde dem Kläger ein entsprechender Anspruch aber nicht zu, weil es sich bei dem Freistellungsanspruch nicht um eine Geldschuld im Sinne von § 291 BGB handelt.

120

III.

121

Die Entscheidung über die Kosten des Rechtsstreits folgt aus § 92 Abs. 1 Satz 1 ZPO und entspricht dem Anteil der Parteien am Unterliegen und Obsiegen.

122

Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 ZPO.

123

Ein Grund zur Zulassung der Revision besteht nicht. Die Voraussetzungen des § 543 Abs. 2 ZPO liegen nicht vor. Weder hat die Rechtssache nach dem Urteil des Bundesgerichtshofs vom 18. November 2024 – VI ZR 10/24 – noch grundsätzliche Bedeutung noch erfordern die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts.

124

Der Streitwert wird – unter Rückgriff auch auf § 63 Abs. 3 Satz 1 Nr. 2 GKG – für beide Instanzen auf jeweils 7.250 € festgesetzt (vgl. BGH, Beschluss vom 10. Dezember 2024 – VI ZR 7/24, juris).

125

… … …