Schadensersatz für die Datenverarbeitung durch Business Tools: Ihre Ansprüche

Tenor

1. Auf die Berufung des Klägers wird das Urteil des Landgerichts Mühlhausen vom 12.12.2024, Az. 6 O 28/24, abgeändert und wie folgt neu gefasst:

a) Die Beklagte wird verurteilt, dem Kläger Auskunft darüber zu erteilen, welche personenbezogenen Daten sie seit dem 25.05.2018 verarbeitet und im Zuge dessen mit dem Nutzeraccount des Netzwerks ”I” unter dem Benutzernamen „S“ des Klägers verknüpft hat, dies insbesondere, aber nicht ausschließlich durch die „M Business Tools“

aa. auf Dritt-Webseiten und -Apps, die personenbezogenen Daten, die der Identifizierung des Klägers dienen, ob direkt oder in gehashter Form übertragen, d.h.

– E-Mail des Klägers

– Telefonnummer des Klägers

– Vorname des Klägers

– Nachname des Klägers

– Geburtsdatum des Klägers

– Geschlecht des Klägers

– Ort des Klägers

– Externe IDs anderer Werbetreibender (von der M Ltd. „external_ID” genannt)

– IP-Adresse des Clients

– User-Agent des Clients (d.h. gesammelte Browserinformationen)

– interne Klick-ID der M Ltd.

– interne Browser-ID der M Ltd.

– Abonnement-ID

– Lead-ID

– anon-ID

sowie bezogen auf sämtliche so verarbeiteten personenbezogenen Daten des Klägers

bb. auf Dritt-Webseiten

– die URLs der Webseiten samt ihrer Unterseiten

– der Zeitpunkt des Besuchs

– der Referrer (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist),

– die auf der Webseite angeklickten Buttons sowie

– weitere von der M „Events“ genannten Daten, die die Interaktionen auf der jeweiligen Webseite dokumentieren,

cc. in mobilen Dritt-Apps

– der Name der App sowie

– der Zeitpunkt des Besuchs

– die in der App angeklickten Buttons sowie

– die von M „Events“ genannte Daten, die die Interaktionen in der jeweiligen App dokumentieren;

dd. außerdem für jedes erhobene Datum

– ob, und wenn ja welche konkreten Daten des Klägers die Beklagte seit dem 25.05.2018 zu welchem Zeitpunkt (Beginn, Dauer, Ende) in welchem Drittstaat gespeichert hat;

– inwieweit die Daten des Klägers für eine automatisierten Entscheidungsfindung einschließlich Profiling verwendet wurden und werden, wobei hierfür aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und angestrebte Auswirkung einer solchen Verarbeitung für die betroffene Person zu erteilen sind.

b) Die Beklagte wird verurteilt, sechs Monate nach rechtskräftigem Abschluss des Verfahrens sämtliche unter a) fallende, auf einer Übermittlung durch „M Business Tools“ beruhende und seit dem 25.05.2018 gespeicherte personenbezogene Daten vollständig zu löschen.

c) Die Beklagte wird verurteilt, an den Kläger 3.000,00 € nebst Zinsen i.H.v. fünf Prozentpunkten über dem Basiszinssatz seit dem 20.02.2024, zu zahlen.

Im Übrigen wird die Klage abgewiesen und die weitergehende Berufung zurückgewiesen.

2. Die Beklagte hat die Kosten des Rechtsstreits einschließlich des Berufungsverfahrens zu tragen.

3. Das Urteil ist vorläufig vollstreckbar. Die Beklagte darf die Vollstreckung des Klägers durch Sicherheitsleistung in Höhe von 6.000,00 € abwenden, wenn nicht der Kläger vor der Vollstreckung Sicherheit in dieser Höhe leistet.

4. Die Revision der Beklagten gegen dieses Urteil wird zugelassen.

Gründe

I.

Der Kläger begehrt von der Beklagten Auskunft über die Erhebung und Verarbeitung personenbezogener Daten, deren Löschung sowie immateriellen Schadensersatz.

Er nutzt seit dem 01.01.2015 unter dem Benutzernamen „S“ das von der Beklagten betriebene soziale Netzwerk „I“ zu privaten Zwecken.

Die Beklagte unterhält unter dem Begriff „M Business Tools“ zusammengefasste Software-Produkte wie insbesondere „M Pixel“, „App Events über F SDK“ (bzw. „F SDK“), „Conversions API“ und „App Events API“. Diese stellt sie Webseiten- und App-Betreibern (nachfolgend: Dritte) zur Verfügung. Dritte können die „M Business Tools“ in ihre eigenen Webseiten- und App-Angebote technisch einbinden, um durch Erfassung des Nutzerverhaltens ihrer Besucher u.a. spezifisch auf den einzelnen Nutzer zugeschnittene Werbung auf den sozialen Netzwerken der Beklagten, darunter dem vom Kläger genutzten „I“, zu schalten. Auch können Dritte anhand der „M Business Tools“ die Effektivität ihrer Werbemaßnahmen messen. Dritte, die die „M Business Tools“ entweder einzeln oder in Kombination nutzen, übermitteln zu den genannten Zwecken Daten über die Kundenaktivität auf ihrer Webseite bzw. in ihrer App an die Beklagte. Dabei erfolgt – je nach genutztem „Tool“ auf unterschiedlichem technischen Weg – eine individuelle Zuordnung der erfassten Kundenaktivität zum Nutzerprofil auf der jeweiligen Plattform der Beklagten, hier also zum Profil „S“ des Klägers bei I.

Diese Individualisierung gelingt, indem zahlreiche Daten wie etwa die IP-Adresse, das Betriebssystem, die Sprache, die Zeitzone, die Bildschirm-Auflösung, das Tastaturlayout und unterstützte Audioformate erfasst werden, die zwar jeweils für sich keine Aussagekraft haben, in der Zusammenschau indes eine individuelle Zuordnung mit Wahrscheinlichkeiten von über 99 % ermöglichen. Vorstehende Informationen fallen dabei als sog. HTTP-Standarddaten gleichsam automatisch an, wenn ein Nutzer durch eine entsprechende Eingabe einer Webseitenadresse im Browser die Webseite eines Dritten ansteuert. Denn sie werden nach dem maßgeblichen HTTP-Protokoll dem Webserver des Dritten zwingend mitgeteilt, damit dieser die Webseite in funktionsfähiger Weise auf dem jeweils genutzten Endgerät bereitstellen kann.

Die Erfassung von Nutzerdaten durch die „M Business Tools“ und Übermittlung an die Beklagte erfolgt unabhängig davon, ob der Nutzer zum jeweiligen Zeitpunkt mit dem betreffenden Endgerät auf einer Plattform der Beklagten angemeldet ist oder nicht. Neben den die individuelle Zuordnung ermöglichenden HTTP-Standarddaten ermöglichen die „M Business Tools“ auch die Erfassung weiterer Informationen, sog. Kunden- bzw. Aktivitätsdaten. Diese betreffen das spezifische Nutzungsverhalten auf einer Webseite oder in einer App, darunter auch Eingaben in Formularfelder, in Suchmasken oder das Betrachten einzelner Videos.

Dritte, welche die „M Business Tools“ für ihre Angebote nutzen wollen, müssen die „Business Tool Nutzungsbedingungen“ der Beklagten akzeptieren. Diese fordern u.a. in Abschnitt 3 lit. c.-d.).:

„Du [d.h. der Drittunternehmen] sicherst zu und gewährleistest, dass du einen stabilen und hinreichend auffälligen Hinweis für Nutzer bezüglich dem (sic) Erfassen, Teilen sowie der Verwendung der Business-Tool-Daten bereitgestellt hast, der mindestens folgende Angaben enthalten muss:

i. Für Websites: Einen eindeutigen und auffälligen Hinweis auf jeder Seite der Website, auf der unsere Pixel genutzt werden. Ein solcher Hinweis hat auf eine klare Erläuterung zu verlinken, die besagt, (a) dass Dritte, einschließlich M, möglicherweise Cookies, Web Beacons und sonstige Speichertechnologien nutzen, um Informationen von deinen Websites und anderen Stellen im Internet zu erfassen oder zu erhalten, und diese Informationen dann für die Bereitstellung von Messlösungen, das Anzeigen-Targeting und die Auslieferung von Anzeigen verwenden, (b) wie Nutzer sich für ein Opt-out bezüglich der Erfassung und Verwendung von Informationen für das Anzeigen-Targeting entscheiden können und (c) wo Nutzer auf einen Mechanismus zugreifen können, um eine solche Auswahl zu treffen (z. B. durch Bereitstellung von Links zu http://www.aboutads.info/choices und http://www.youronlinechoices.eu/).

ii. Für Apps: Einen eindeutigen und auffälligen Link, der in deinen App-Einstellungen oder in jeder Datenrichtlinie und aus jedem Store bzw. von jeder Website aus, in der/dem deine App vertrieben wird, leicht zugänglich ist.

Dieser Link muss auf eine klare Erläuterung verlinken, die besagt, (a) dass Dritte, einschließlich M, möglicherweise Informationen von deiner App und anderen Apps erfassen bzw. erhalten und diese Informationen dann für die Bereitstellung von Messlösungen und das Anzeigen-Targeting und die Auslieferung von Anzeigen verwenden, und (b) wie und wo Nutzer sich für ein Opt-out bezüglich der Erfassung und Verwendung von Informationen für das Anzeigen-Targeting entscheiden können.

In Rechtsordnungen, in denen für das Speichern von Cookies oder sonstigen Informationen auf dem Gerät eines Endnutzers und das Zugreifen auf diese eine informierte Einwilligung erforderlich ist (wie u. a. in der Europäischen Union), musst du in nachprüfbarer Weise sicherstellen, dass ein Endnutzer alle erforderlichen Einwilligungen erteilt, bevor du M-BusinessTools nutzt, um M das Speichern von Cookies oder sonstigen Informationen auf dem Gerät des Endnutzers und den Zugriff auf diese zu ermöglichen. (Vorschläge zur Implementierung von Einwilligungsmechanismen findest du in unserer Ressource zur Cookie-Einwilligung)“

Wegen der weiteren Inhalte der Nutzungsbedingungen wird auf Anlage 5 Bezug genommen (Bl. 57 Anlagenheft Beklagte 1. Inst.). Mit Dritten, welche die „M Business Tools“ in ihren Systemen implementieren und hierfür die vorstehenden Nutzungsbedingungen akzeptieren, vereinbart die Beklagte zusätzlich die von ihr als „Vertragszusatz“ bezeichneten Datenverarbeitungsbedingungen mit dem aus Anlage B 10 ersichtlichen Inhalt (Bl. 169 Anlagenheft Beklagte 1. Inst.).

Die Erhebung und Übermittlung sowohl der HTTP-Standarddaten als auch der Kunden- bzw. Aktivitätsdaten wird je nach eingesetztem „M Business Tool“ auf verschiedenen technischen Wegen umgesetzt.

Implementieren Dritte den „M Pixel“ auf ihren Webseiten, wird bei Besuch derselben ein sog. „Cookie“ beim Besucher der Webseite gesetzt. Dies bedeutet, dass der Webserver dieser Webseite eine Textinformation erzeugt und an den Webbrowser des Nutzers sendet, der die Information auf dem Endgerät speichert und solange bei jedem Seitenaufruf zurück an den Webserver schickt, wie die Datei auf dem Endgerät nicht gelöscht wird. So können einerseits erneute Webseitenbesuche einem bereits bestehenden Besuch zugeordnet und beispielsweise nutzerspezifische Handlungen wie das Ablegen von Waren in einem Warenkorb wiederhergestellt werden, andererseits dienen „Cookies“ der Nutzerverfolgung zu Werbezwecken. „M Pixel“ ist technisch dabei so ausgestaltet, dass es für den Webbrowser nicht als ein Cookie der Beklagten, mithin ein von einem Dritten stammendes sog. „Third-Party-Cookie“ erscheint, sondern als eines des Webseitenbetreibers selbst, sog. „First-Party-Cookie“. Diese werden anders als „Third-Party-Cookies“ von modernen Webbrowsern nicht schon standardmäßig unterbunden. Daher wird, sobald ein Nutzer eine mit dem „M Pixel“ ausgestattete Webseite aufruft, vom „M Pixel“ ein Cookie zur Identifizierung des Webbrowsers mittels eines individuellen Werts (sog. „_fbp-Cookie“) gesetzt. Immer wenn der jeweilige Nutzer diese Seite besucht, erkennt der Pixel den Webbrowser anhand des hinterlegten individuellen Wertes wieder, was die Verknüpfung der Daten vergangener Webseitenbesuche und des nunmehrigen Besuchs ermöglicht. Weiter sorgt „M Pixel“ dafür, dass ein mit diesem „_fbp-Cookie“ verknüpfter sog. „_fbc-Cookie“ erzeugt wird. Der „_fbc-Cookie“ dient dazu, das Anklicken von Werbeanzeigen des Webseitenbetreibers auf einer der Plattformen der Beklagten aufzuzeichnen. Jeder Werbeanzeige des Webseitenbetreibers auf den Plattformen ist eine sog. „Klick-ID“ zugeordnet, die spezifisch anhand des Nutzerkontos auf dem die Werbung angezeigt wird, generiert wird. Klickt ein Plattformnutzer auf die Werbeanzeige, wird die hinter der Werbung verlinkte Webseitenadresse mit diesem individuellen Wert (sog. „fbclid“) erweitert. Der auf der adressierten Webseite implementierte „M Pixel“ sorgt sodann für eine Verknüpfung dieser Klick-Aktivität mit der Identifizierung des Nutzers anhand des „_fbp-Cookies“.

Darüber hinaus sucht der „M Pixel“ automatisch nach – über die HTTP-Standarddaten hinausgehenden – individuellen Identifizierungsdaten des Nutzers im Falle eines Besuchs der Webseite von Dritten. Dazu gehören insbesondere etwa im Rahmen von Bestellvorgängen auf der Webseite eingegebene E-Mail-Adressen, Telefonnummern, Name und das Geburtsdatum. Diese Daten werden wiederum mit der durch „_fbp“ erfolgten Identifizierung verknüpft, mittels sog. „Hashing“ zu einer eindeutigen einheitlichen Zahlenfolge gewandelt und so zur weitergehenden Individualisierung und Datenerfassung an die Beklagte gesandt. Wegen der im Einzelnen durch den „M Pixel“ erfassten Parameter wird auf Anlage K 8 Bezug genommen (Bl. 228 – 235 Anlagenheft Kläger 1. Inst.).

Mit dem „F SDK“ hält die Beklagte ein weiteres „M Business Tool“ vor, welches in ähnlicher Funktionsweise wie der „M Pixel“ in mobile Apps eingebunden wird.

Zu den „M Business Tools“ gehört mit „Conversions API“ zudem eine von der Beklagten seit 2021 beworbene Technik, die eine solche Nutzeridentifizierung ebenfalls ermöglicht, ohne dass sie im Webbrowser des Nutzers geladen werden muss. Stattdessen erfasst sie Daten der vorgenannten Art direkt aus der durch den Webserver des Webseitenbetreibers vom Nutzer empfangenen Kommunikation. Die Datenerhebung und anschließende Übermittlung an die Beklagte kann somit auch dann erfolgen, wenn Nutzer in ihrem Browser den sog. „Inkognito-Modus“, werbeblockierende sog. „AdBlocker“ oder AntiSpy-Software verwenden sowie mittels eines sog. „Virtual Private Network“ (VPN) versuchen, einer Preisgabe ihrer Identität zuvorzukommen. Entsprechend bewirbt die Beklagte „Conversions API“ gegenüber Dritten als Maßnahme zur Steigerung der Sichtbarkeit und Werbeeffizienz, wobei die Einführung der Technik zeitlich zusammenfällt mit der Verstärkung standardmäßiger Privatsphäre-Einstellungen in den großen Webbrowsern wie Mozilla Firefox, Apple Safari und Google Chrome.

Bei „App Events API“ handelt es sich um das technische Pendant zur „Conversions API“ für die Datenerfassung in mobilen Apps.

„M Business Tools“ werden u.a. auf zahlreichen reichweitenstarken Webseiten und entsprechenden Apps eingesetzt, darunter Nachrichtenportalen wie s.de, b.de, w.de, f.net, s.de, großen Reiseseiten und -Apps wie z.B. t.de, h.de, h.de, k.de, m.de, Seiten und Apps, die medizinische Hilfe bieten wie z.B. a.de, s.de, d.de, a.de, h.de, j.de, Dating- und Erotikseiten wie p.de, a.de, o.de, l.de sowie Seiten mit der Privat- und Intimsphäre ihrer Besucher zuzuordnenden Inhalten wie solchen zur Krebshilfe, Fruchtbarkeit, Alkoholismus und Sterbehilfe. Auch auf der zur politischen Orientierung vor Wahlen zur Verfügung gestellten Webseite des Wahl-O-Mats waren „M-Business-Tools“ im Einsatz. In welchem Umfang neben diesen und den weiteren aus den Anlagen K 2, K 12 und K 13 (Bl. 151 ff., 306 ff. Anlagenheft Kläger 1. Inst.) ersichtlichen Angeboten „M Business Tools“ von Dritten genutzt werden und wurden, wird von der Beklagten nicht veröffentlicht. Allein die Verbreitung des „M Pixels“ liegt nach Schätzungen weltweit bei rund 30 – 40 % der Webseiten und einschlägigen Apps. Die durch Einbettung der „M Business Tools“ erfassten Daten werden auch an außerhalb der Europäischen Union betriebene Server der Beklagten, insbesondere solche in den USA übermittelt.

Zwischen den Parteien ist umstritten, in welchem Umfang der Kläger selbst Webseiten und Apps, die mit „M Business Tools“ ausgestattet sind, nutzt und dabei insbesondere auch solche Daten erfasst und nach Übermittlung durch Dritte von der Beklagten seinem Profil bei I zugeordnet werden, die Rückschlüsse auf seine politische Einstellung, seine religiösen oder weltanschaulichen Überzeugungen, seine gesundheitliche Situation sowie sein Sexualleben oder seine sexuelle Orientierung zulassen.

Die Beklagte übermittelte dem Kläger unter dem 21.06.2024 ein – auf die Anträge der Klageschrift zu 1. Bezug nehmendes – Schreiben mit dem Zweck der Auskunftserteilung nach Art. 15 DSGVO. Darin heißt es, dass mangels klägerischer Einwilligung über die Einstellung „Informationen über Aktivitäten von Werbepartnern“ die Beklagte keine personenbezogenen Daten im Rahmen der streitgegenständlichen Datenverarbeitung verarbeite und demzufolge die begehrten Informationen nicht bereitgestellt werden könnten. Daneben verweist das Schreiben auf die I-Funktionen „Zugriff auf deine Informationen“ und „Deine Informationen herunterladen“, die Nutzern den Zugang und das Herunterladen ihrer personenbezogenen Daten ermöglichen sollen. Ferner werden zum Begehren der Auskunft über personenbezogene Daten, welche Dritten übermittelt worden sind, unter deren Benennung nachfolgend Informationen zu Kategorien von Empfängern bereitgestellt, mit denen diese Daten von der Beklagten geteilt werden können. Wegen der Einzelheiten des Schreibens wird auf Anlage B 8 Bezug genommen (Bl. 125, Anlagenheft Beklagte 1. Inst.).

Der Kläger hat behauptet, im Rahmen seiner Internetnutzung seit längerer Zeit alle Cookies soweit möglich abzulehnen und außerhalb der aktiven Nutzung des sozialen Netzwerks nicht bei I eingeloggt zu sein, zugleich auf seine bestehende I-Nutzung aber aufgrund der Pflege sozialer Kontakte nicht verzichten zu können. Der Kläger hat behauptet, dass die Funktionsweise des „M Pixel“ so ausgestaltet sei, dass es zur Übermittlung ihn identifizierender sowie sein Nutzungsverhalten dokumentierender Daten unabhängig davon komme, ob er in seinem Nutzerkonto sämtliche optionalen „Cookies“ ablehne und für „Nein, meine Werbung nicht mit Hilfe dieser Informationen relevanter machen“ optiere. Er habe Webseiten wie z.B. spiegel.de ermittelt, bei denen sich eine identifizierende Daten auslesende Aktivität des „M Pixels“ schon zeige, bevor der Benutzer über den Datenschutz-Banner eine Einwilligungsentscheidung treffen könne. Wegen der Einzelheiten des dahingehenden unter Einbettung von Webseiten-Screenshots gehaltenen Vortrags wird auf die Seiten 25 – 33 der Replik vom 16.09.2024 Bezug genommen (Bl. 171 ff. d.A. 1. Inst.). Der Kläger hat weiter behauptet, vor Mandatierung seiner Anwälte keine Kenntnis darüber gehabt zu haben, dass die Beklagte seine Aktionen außerhalb von I aufzeichne. Nunmehr wisse er, dass er sich beim Aufruf beliebiger Webseiten und Apps niemals sicher sein könne, ob die Beklagte gerade mitlese, was er tue oder nicht. Er habe daher die Kontrolle darüber verloren, was die Beklagte über den Kläger wisse, was sie mit den erhaltenen Daten mache und mit wem sie ihr Wissen teile. Ferner hat der Kläger behauptet, die Beklagte vorgerichtlich mit Schreiben vom 18.12.2023 zur Abgabe einer Anerkenntnis-, Verpflichtungs- und Unterlassungserklärung betreffend die rechtswidrige Datenverarbeitung mittels der „M Business Tools“ sowie zur Leistung eines Schmerzensgeldes in Höhe von 5.000,00 € aufgefordert zu haben.

Er hat die Auffassung vertreten, er genüge seiner Darlegungs- und Beweislast, wenn er nur allgemein vortrage, wie er das Internet nutze und dass dabei auch Seiten besucht und genutzt würden, auf denen die „M Business Tools“ aktiv seien, darunter auch solche mit sensiblen Inhalten. Er sei nicht gehalten, im Einzelnen konkrete von ihm genutzte Webseiten und den Inhalt seiner Nutzung vorzutragen.

Der Kläger hat beantragt,

die Beklagte zu verurteilen, Auskunft nach Art. 15 Abs. 1 lit. a., c., g. und h. DSGVO darüber zu erteilen, welche personenbezogenen Daten die Beklagte seit dem 25.05.2018 verarbeitet und im Zuge dessen mit dem Nutzeraccount des Netzwerks ”I” unter dem Benutzernamen „S“ des Klägers verknüpft hat, dies insbesondere, aber nicht ausschließlich durch die „M Business Tools“,

a. auf Dritt-Webseiten und -Apps die personenbezogenen Daten, die der Identifizierung des Klägers dienen, ob direkt oder in gehashter Form übertragen, d.h.

– E-Mail der Klagepartei

– Telefonnummer der Klagepartei

– Vorname der Klagepartei

– Nachname der Klagepartei

– Geburtsdatum der Klagepartei

– Geschlecht der Klagepartei

– Ort der Klagepartei

– Externe IDs anderer Werbetreibender (von der M Ltd. „external_ID” genannt)

– IP-Adresse des Clients

– User-Agent des Clients (d.h. gesammelte Browserinformationen)

– interne Klick-ID der M Ltd.

– interne Browser-ID der M Ltd.

– Abonnement-ID

– Lead-ID

– anon-ID

sowie bezogen auf sämtliche so verarbeiteten personenbezogenen Daten des Klägers

b. auf Dritt-Webseiten

– die URLs der Webseiten samt ihrer Unterseiten

– der Zeitpunkt des Besuchs

– der Referrer (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist),

– die auf der Webseite angeklickten Buttons sowie

– weitere von der M „Events“ genannte Daten, die die Interaktionen auf der jeweiligen Webseite dokumentieren

c. in mobilen Dritt-Apps

– der Name der App sowie

– der Zeitpunkt des Besuchs

– die in der App angeklickten Buttons sowie

– die von der M „Events“ genannten Daten, die die Interaktionen in der jeweiligen App dokumentieren

außerdem für jedes erhobene Datum,

ob, und wenn ja welche konkreten personenbezogenen Daten des Klägers die Beklagte seit dem 25.05.2018 zu welchem Zeitpunkt an Dritte (Werbepartner, sonstige Partner, im Konzern verbundene Unternehmen oder sonstige Dritte) weitergegeben hat, unter Benennung dieser Dritten,

ob, und wenn ja welche konkreten Daten des Klägers die Beklagte seit dem 25.05.2018 zu welchem Zeitpunkt (Beginn, Dauer, Ende) in welchem Drittstaat gespeichert hat;

inwieweit die Daten des Klägers für eine automatisierten Entscheidungsfindung einschließlich Profiling verwendet wurden und werden, wobei hierfür aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und angestrebte Auswirkung einer solchen Verarbeitung für die betroffene Person zu erteilen sind;

2. die Beklagte zu verpflichten, nach vollständiger Auskunftserteilung gem. des Antrags zu 1. sämtliche gem. des Antrags zu 1 a. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu löschen sowie sämtliche gem. des Antrags zu 1

b. sowie c. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren;

3. die Beklagte zu verurteilen, an den Kläger eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 5.000,00 Euro beträgt, nebst Zinsen i.H.v. fünf Prozentpunkten über dem Basiszinssatz seit dem 16.01.2024, zu zahlen;

4. die Beklagte zu verurteilen, den Kläger von vorgerichtlichen Rechtsanwaltskosten i.H.v. 627,13 Euro freizustellen.

Die Beklagte hat die Auffassung vertreten, der Kläger müsse substantiiert darlegen, dass er eine bestimmte Webseite oder App von Drittanbietern besucht habe und diese spezifische Daten des Klägers mit der Beklagten geteilt habe. Er müsse auch jeweils spezifisch darlegen, gegen welchen Verwendungszweck einer Datenerhebung und -übermittlung er sich wende, bevor die Beklagte im Einzelnen zur jeweiligen Rechtsgrundlage der Datenverarbeitung Stellung nehmen müsse. Entgegen der klägerischen Auffassung könne er im Übrigen anhand der Datenschutzrichtlinie detaillierte Informationen darüber erhalten, wie M Informationen erhebe, verwende, teile und übermittle und er könne anhand der Einstellungen in seinem I-Konto die Kontrolle über die Nutzung der mit diesem Konto verknüpften und von Drittunternehmen geteilten Informationen über Aktivitäten ausüben.

Nach der von der Beklagten vertretenen Rechtsauffassung seien stets die Dritten, welche die „M Business Tools“ nutzten, Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO, nicht hingegen die Beklagte. Die Dritten seien insbesondere hauptverantwortlich für die Erfüllung der Auskunftspflicht über die Nutzung von „M Business Tools“ gegenüber ihren Webseiten- und App-Besuchern sowie für die Gewährleistung, dass alle notwendigen Rechte, Erlaubnisse vorliegen und eine rechtliche Grundlage bestehe, um Daten über die „M Business Tools“ in Übereinstimmung mit allen Gesetzen, Regulatorien und Branchenrichtlinien an die Beklagte zu übermitteln. Entgegen der klägerischen Behauptung würden Nutzerdaten nicht unabhängig von einer Einwilligung automatisch erhoben und an die Beklagte übermittelt. Denn es sei ohne weiteres möglich, dass Dritte ihren Code so ausgestalten, dass der Browser etwa die HTTP-Anfrage mit den entsprechenden zur Individualisierung führenden Datenpunkten erst dann stelle, nachdem die Person über das Cookie-Banner des Dritten oder dessen Datenschutzeinstellungen ihre Einwilligungen gegeben habe. Es sei Dritten bei allen Formen der „M Business Tools“ möglich, die Datenübertragung zu pausieren bis eine Einwilligungsentscheidung über Cookie- oder Datenschutzeinstellungen vom Nutzer vorgenommen und diese durchgehend zu blockieren, wenn die Einwilligung verweigert worden sei.

Zudem liege der jeweiligen Datenverarbeitung eine wirksame Einwilligung der Nutzer auf den M-Plattformen vor. Nutzer könnten der Nutzung von „Cookies in Apps und auf Websites von anderen Unternehmen, die M Technologie nutzen“ widersprechen und Werbeanzeigen auf I über die Einstellung „Informationen über Aktivitäten von Werbepartnern“ sowie die Verknüpfung der Konten mit von Dritten an die Beklagte übermittelte Daten über die Einstellung „Deine Aktivitäten außerhalb der M-Technologien“ kontrollieren. Die Beklagte nehme insoweit „keine streitgegenständliche“ Datenverarbeitung vor, wenn nicht über diese Einstellungen eine Einwilligung erteilt worden sei.

Abgesehen davon seien die „M Business Tools“ ein allgegenwärtiger und integraler Bestandteil der alltäglichen Internetnutzung und ihrer Funktion, da Millionen von Organisationen, ob groß oder klein, diese auf ihren Webseiten und in ihren Apps nutzten. Es sei notwendig, dass die Beklagte die derart übermittelten Daten verarbeite, um die Funktionalität und Sicherheit des Internets zu verbessern. Den „M Business Tools“ vergleichbare Technologien würden von einer Vielzahl verschiedener Anbieter zur Verfügung gestellt und so zur grundlegenden Architektur des Internets gehören. Neben dem Zweck der Bereitstellung personalisierter Werbung der Dritten diene deren Datenübermittlung an die Beklagte auch dazu, die Sicherheit und Integrität der Server der Beklagten vor Cyberattacken wie etwa Scraping zu schützen.

Den Auskunftsanspruch des Klägers habe die Beklagte mit dem aus Anlage B 8 ersichtlichen Schreiben erfüllt, weshalb der Antrag zu 1. gegenstandslos sei. Ein Anspruch auf Anonymisierung kenne die DSGVO nicht. Im übrigen sei der dahingehende Antrag mangels Vorliegen der Voraussetzungen des § 259 ZPO unzulässig. Ein Löschungsanspruch bestehe insofern nicht als der Kläger über die Einstellungen in I die Verwendung der durch Drittunternehmen geteilten Informationen über Aktivitäten kontrollieren, sein Konto löschen oder zu einem Werbefrei-Abo wechseln könne.

Mangels Erfüllung der Darlegungsanforderungen zu den genutzten Webseiten und Apps durch den Kläger könne dieser auch keinen erlittenen Schaden im Sinne des Art. 82 DSGVO belegen. Gleiches gelte für Schadensersatz nach nationalem Recht; der Vortrag gebe nichts her, um eine vorsätzliche oder schwerwiegende Verletzung der Persönlichkeitsrechte nachzuweisen.

Das Landgericht hat den Kläger informatorisch angehört. Wegen der Inhalte wird auf das Protokoll der mündlichen Verhandlung vom 26.09.2024 Bezug genommen (Bl. 357 d.A. 1. Inst.).

Mit dem dem Kläger am 16.12.2024 zugestellten Urteil vom 12.12.2024 hat das Landgericht die Klage abgewiesen. Sie sei zwar zulässig, aber unbegründet.

Den Auskunftsanspruch des Klägers habe die Beklagte erfüllt. Entscheidend sei hierfür allein die Erklärung des Auskunftsschuldners, dass die Auskunft das berechtigte Auskunftsbegehren vollständig abdecken solle, wohingegen eine etwaige Unrichtigkeit unschädlich für die Erfüllungswirkung sei. Hier komme in dem Antwortschreiben der Beklagten zum Ausdruck, dass diese selbst davon ausgehe, ihrer Auskunftspflicht bereits umfassend nachgekommen zu sein. Für einen Anspruch auf Ergänzung der Auskunft sei damit kein Raum.

Ein Anspruch auf Löschung gem. Art. 17 Abs. 1 DSGVO stehe dem Kläger nicht zu, weil er keinen dafür nötigen Verstoß der Beklagten gegen die DSGVO dargelegt und bewiesen habe. Ein Verstoß gegen Art. 6 Abs. 1 DSGVO sei nicht ersichtlich. Es fehle bereits an einem Nachweis darüber, welche Webseiten und Apps der hiesige Kläger in welchem Umfang und wann genutzt habe und inwiefern die Einbindung der streitgegenständlichen „M Business Tools“ gerade bezogen auf ihn erfolgt sei. Art. 9 Abs. 1 DSGVO, der die Verarbeitung besonders sensibler Daten untersage, sei ebenfalls nicht verletzt. Auch hier fehle es an einem Nachweis, dass die „M Business Tools“ beim Kläger derart angewandt würden, dass die in Art. 9 Abs. 1 DSGVO genannten Bereiche tangiert sind. Ein solcher Nachweis sei auch nicht darin zu sehen, dass der Kläger allgemein beschreibe, wie viele Stunden am Tag er sich mit welchen, mitunter sensiblen, Themen im Internet beschäftige, da auch hier die Herstellung eines individuellen Bezugs zu den „M Business Tools“ fehle.

Der Kläger habe auch keinen Anspruch auf Anonymisierung. Art. 17 Abs. 1 DSGVO vermittle einen solchen Anspruch schon gar nicht. Jedenfalls fehle es aber an der Verletzung von Vorschriften nach der DSGVO seitens der Beklagten.

Immaterieller Schadensersatz stehe dem Beklagten weder nach Art. 82 Abs. 1 DSGVO noch nach § 823 Abs. 1 BGB i.V.m. seinem allgemeinen Persönlichkeitsrecht zu. Betreffend den unionsrechtlichen Anspruch sei es dem Kläger selbst unter Zugrundelegung eines weiten Verständnisses des immateriellen Schadens, der Bagatellschäden einschließe, nicht gelungen, das Entstehen eines Schadens darzulegen. Spürbare persönliche Einbußen, die auch kausal auf die Einbindung der streitgegenständlichen „M Business Tools“ zurückzuführen seien, habe er weder dargelegt noch bewiesen. Ein Anspruch aus § 823 Abs. 1 BGB scheitere am fehlenden Nachweis von Datenschutzverstößen, so dass schwerwiegende Beeinträchtigungen der Persönlichkeitsrechte des Klägers nicht zu erblicken seien.

Mit seiner Berufung vom 16.01.2025 verfolgt der Kläger sein Klagebegehren weiter, wobei er als Mindesthöhe des geforderten Schmerzensgeldes nunmehr 1.500,00 € angibt.

Das Landgericht verkenne hinsichtlich des geltend gemachten Auskunftsanspruchs, dass keine Erfüllung eingetreten sei. Die Beklagte habe schon nicht behauptet, dass die über ihr Tool abrufbare Auskunft dem klägerischen Auskunftsbegehren entspreche. Stattdessen behaupte sie, sie verstehe das klägerische Begehren so, dass insoweit nur relevant sei, welche über die „M Business Tools“ erlangten Daten sie zum Zwecke der Bereitstellung personalisierter Werbung weiter verarbeitet habe. Ferner seien über das Auskunftstool allenfalls rudimentäre Informationen abrufbar, die hinsichtlich des Umfangs nicht im Ansatz dem Auskunftsbegehren entsprächen.

Ein Löschungs- und Anonymisierungsanspruch bestehe auch ohne dass der Kläger einzelne Webseiten nenne. Dies sei zudem nicht möglich, da er nicht wisse, auf welchen Seiten er wann von der Beklagten ausspioniert werde. Das Landgericht habe sich von der zweifelhaften Verfahrenstaktik der Beklagten in die Irre leiten lassen und verkannt, dass die Beklagte unstreitig personenbezogene Daten des Klägers auf die geschilderte Weise verarbeite, da sie lediglich die Weiterverarbeitung zu Zwecken der Bereitstellung personalisierter Werbung bestritten habe.

Der Antrag auf Geldentschädigung sei entgegen der Auffassung des Landgerichts begründet. Es liege substantiierter Vortrag des Klägers zum immateriellen Schaden nach Art. 82 DSGVO vor. Das Landgericht verkenne insoweit, dass sich der Kläger nicht gegen einzelne, konkrete Datenverarbeitungen richte, sondern gegen die generelle Anwendung der Business Tools auf seine Person und die Unmöglichkeit diese abzustellen, was einen Verstoß gegen Art. 5 Abs. 1 u. Art. 25 DSGVO darstelle, der zugleich ein tiefgreifender Eingriff in das Recht auf informationelle Selbstbestimmung sei. Denn die Tools brächten die beständige Gefahr der Nachverfolgung und Protokollierung seines digitalen Privatlebens mit sich. Insoweit sei nicht nachvollziehbar, weshalb das erstinstanzliche Gericht den eingetretenen Kontrollverlust und die erheblichen persönlichen Beeinträchtigungen nicht als ausreichend erachtet habe, zumal nach Art. 82 DSGVO schon keine Erheblichkeitsschwelle zu überschreiten sei.

Auch bestehe ein Anspruch nach § 823 BGB i. V. m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG. Ohne nachvollziehbare Begründung meine das Landgericht, dass in der Schaffung der gegenständlichen Bedrohungslage kein Zustand zu erblicken sei, der eine Geldentschädigung rechtfertige. Denn es liege eine erhebliche Beeinträchtigung des Persönlichkeitsrechts des Klägers vor, da aufgrund der Verbreitung und der Wirkungsweise der Business Tools jederzeit mit einer Aufzeichnung seines Surfverhaltens gerechnet werden müsse und er nicht wissen könne, was die Beklagte über ihn wisse. Die im Hintergrund stattfindende Verarbeitung umfassender Datenmengen ermögliche insbesondere die Erstellung eines Persönlichkeitsprofils.

Der Kläger hat zunächst die Wiederholung der erstinstanzlich gestellten Anträge unter Reduzierung des Antrags zu 3. auf einen Mindestbetrag von 1.500,00 € angekündigt. Zuletzt hat er – nach Hinweis des Senats in der mündlichen Verhandlung vom 12.01.2026 den Antrag zu 2. teilweise abändernd – beantragt,

1.

die Beklagte zu verurteilen, Auskunft nach Art. 15 Abs. 1 lit. a., c., g. und h. DSGVO darüber zu erteilen, welche personenbezogenen Daten die Beklagte seit dem 25.05.2018 verarbeitet und im Zuge dessen mit dem Nutzeraccount des Netzwerks ”I” unter dem Benutzernamen „S“ des Klägers verknüpft hat, dies insbesondere, aber nicht ausschließlich durch die „M Business Tools“,

a. auf Dritt-Webseiten und -Apps die personenbezogenen Daten, die der Identifizierung des Klägers dienen, ob direkt oder in gehashter Form übertragen, d.h.

– E-Mail der Klagepartei

– Telefonnummer der Klagepartei

– Vorname der Klagepartei

– Nachname der Klagepartei

– Geburtsdatum der Klagepartei

– Geschlecht der Klagepartei

– Ort der Klagepartei

– Externe IDs anderer Werbetreibender (von der M Ltd. „external_ID” genannt)

– IP-Adresse des Clients

– User-Agent des Clients (d.h. gesammelte Browserinformationen)

– interne Klick-ID der M Ltd.

– interne Browser-ID der M Ltd.

– Abonnement-ID

– Lead-ID

– anon-ID

sowie bezogen auf sämtliche so verarbeiteten personenbezogenen Daten des Klägers

b. auf Dritt-Webseiten

– die URLs der Webseiten samt ihrer Unterseiten

– der Zeitpunkt des Besuchs

– der Referrer (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist),

– die auf der Webseite angeklickten Buttons sowie

– weitere von der M „Events“ genannte Daten, die die Interaktionen auf der jeweiligen Webseite dokumentieren

c. in mobilen Dritt-Apps

– der Name der App sowie

– der Zeitpunkt des Besuchs

– die in der App angeklickten Buttons sowie

– die von der M „Events“ genannten Daten, die die Interaktionen in der jeweiligen App dokumentieren

außerdem für jedes erhobene Datum,

ob, und wenn ja welche konkreten personenbezogenen Daten des Klägers die Beklagte seit dem 25.05.2018 zu welchem Zeitpunkt an Dritte (Werbepartner, sonstige Partner, im Konzern verbundene Unternehmen oder sonstige Dritte) weitergegeben hat, unter Benennung dieser Dritten,

ob, und wenn ja welche konkreten Daten des Klägers die Beklagte seit dem 25.05.2018 zu welchem Zeitpunkt (Beginn, Dauer, Ende) in welchem Drittstaat gespeichert hat;

inwieweit die Daten des Klägers für eine automatisierten Entscheidungsfindung einschließlich Profiling verwendet wurden und werden, wobei hierfür aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und angestrebte Auswirkung einer solchen Verarbeitung für die betroffene Person zu erteilen sind;

2. die Beklagte zu verpflichten, sechs Monate nach rechtskräftigem Abschluss des Verfahrens sämtliche gem. des Antrags zu 1 seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu löschen;

3. die Beklagte zu verurteilen, an den Kläger eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 1.500,00 Euro beträgt, nebst Zinsen i.H.v. fünf Prozentpunkten über dem Basiszinssatz seit dem 16.01.2024, zu zahlen;

4. die Beklagte zu verurteilen, den Kläger von vorgerichtlichen Rechtsanwaltskosten i.H.v. 627,13 Euro freizustellen.

Die Beklagte beantragt,

die Berufung zurückzuweisen.

Sie verteidigt das angefochtene Urteil. Zu Unrecht nehme der Kläger an, das Landgericht habe den Umfang der angefochtenen Datenverarbeitung missverstanden. Tatsächlich wende sich dieser gegen keinen anderen Verarbeitungszweck als die Verarbeitung von „Business Tools-Daten“ zur Bereitstellung personalisierter Werbung. Denn dies sei der einzige vom Kläger konkretisierte Verarbeitungszweck. Da der Klägervortrag unbestimmt, verworren und völlig unsubstantiiert sei, habe die Beklagte ihn auslegen müssen, um überhaupt zu verstehen, wogegen sich der Kläger wende. Nach eingehender Analyse konzentrierten sich die Vorwürfe auf das in der Schaltung personalisierter Werbung bestehende Geschäftsmodell der Beklagten. Daher werde von der Beklagten schriftsätzlich zum Verarbeitungszweck der „Verarbeitung von Daten von Drittwebseiten und -apps zur Bereitstellung personalisierter Werbung“ ausgeführt. Demgegenüber versäume es der Kläger unter Verkennung seiner Darlegungslast darzustellen, welchen konkreten Verarbeitungszweck er angreife und warum ein solcher aus seiner Sicht rechtswidrig sein solle.

Zum Argument des Klägers, die Beklagte würde die „streitgegenständliche Datenverarbeitung“ unstreitig ohne die Einwilligung der Klageseite durchführen, sei klarzustellen, dass sich die Beklagte nicht für jeden Verarbeitungszweck auf eine Einwilligung stütze, da dies gesetzlich auch nicht erforderlich sei. Da der Kläger aber nicht konkretisiert habe, welchen Verarbeitungszweck er angreife, sei die Behauptung, in eine solche – unkonkrete – Verarbeitung nicht eingewilligt zu haben, irrelevant.

Nur vorsorglich sei daher auszuführen, dass die Beklagte bei Nutzern, die in den Einstellungen M-Cookies auf anderen Apps und Websites“ nicht ausdrücklich zuließen, die über „M Business Tools“ gesammelten Daten nur zu Sicherheits- und Integritätszwecken verwende. Darunter falle die Erkennung anomaler Aktivitäten, die möglicherweise darauf abzielten, die Dienste der Beklagten zu stören, die Erkennung feindlicher Akteure wie etwa Hacker, Pädophile und andere Kriminelle sowie die Fehlerbehebung und Betriebsdatenerfassung. Wegen der zu Sicherheits- und Integritätszwecken bestehenden Notwendigkeit der Verwendung personenbezogener Daten erhobenen Behauptungen wird Bezug genommen auf S. 2 bis 10 des Schriftsatzes der Beklagten vom 05.01.2026 (Bl. 180 – 188 d.A.). Nach Auffassung der Beklagten ergebe sich daraus eine den geltend gemachten Ansprüchen entgegenstehende Rechtfertigung der Datenverarbeitung nach Art. 6 Abs. 1 DSGVO wegen vertraglicher Notwendigkeit, wegen eines berechtigten Interesses der Beklagten und wegen eines öffentlichen Interesses.

Abgesehen davon verkenne der Kläger zudem weiterhin, dass die Dritten die Hauptverantwortlichen für die Erhebung und Übermittlung von „M Business Tools“- Daten seien. Bevor sie Daten an die Beklagte weitergeben, müssten diese alle nötigen Offenlegungen vornehmen sowie Rechte und Genehmigungen einholen. Dies legten die „Business Tool Nutzungsbedingungen“ und der Vertragszusatz, an die Dritte gebunden seien, fest und technisch sei dies auch ohne weiteres möglich. Es seien demzufolge die Dritten, die kontrollieren, wann und welche „Event-Daten“ an die Beklagte übermittelt würden. Die Beklagte stelle Dritten zudem umfassende Informationen und Funktionen zur Verfügung, wie diese im Einzelnen bei sämtlichen der Tools eine Datenübermittlung an die Beklagte solange unterbinden könnten, wie noch keine Einwilligung seitens des Webseitenbesuchers bzw. App-Nutzers vorliege.

Der Auskunftsanspruch sei zurecht verneint worden, da er im bestehenden Umfang durch das Antwortschreiben der Beklagten erfüllt sei. Soweit darüber hinausgehende Informationen verlangt würden, seien die Anträge zu weit gefasst und über das erkennbare Interesse des Klägers hinausgehend. Der Auskunftsantrag sei wortwörtlich oder nahezu identisch mit jenen in Tausenden anderer Parallelverfahren, was zeige, dass es sich lediglich um eine Prozessstrategie handele um die Beklagte zu schikanieren, nicht dagegen um eine echte Anfrage der betroffenen Person. Der Löschungsantrag sei wegen fehlender Bestimmtheit unzulässig. Ein Anspruch auf Löschung bestehe auch nicht, da die Verarbeitung der über „M Business Tools“ empfangenen Daten rechtmäßig sei. Die Voraussetzungen des Art. 6 Abs. 1 DSGVO seien erfüllt.

Soweit ein Löschungsanspruch überhaupt bestehen könnte, sei ihm durch die Einstellung „Deine Aktivitäten außerhalb von M-Technologien“ genügt, die es ermögliche, die von Drittunternehmen geteilten Informationen über Aktivitäten, die mit ihrem I-Konto verknüpft sind, zu trennen und für die Zukunft auszuschalten. Im Übrigen stehe es dem Kläger jederzeit frei, sein Konto bei I zu löschen.

Das Landgericht habe auch den Entschädigungsanspruch zurecht verneint. Die Beklagte habe nicht gegen die DSGVO verstoßen und zudem habe es der Kläger versäumt, überhaupt darzulegen, dass er einen tatsächlichen Schaden erlitten habe. Die vom Bundesgerichtshof in der Entscheidung vom 18. November 2024 (Az. VI ZR 10/24) aufgestellten Anforderungen seien auf den vorliegenden Fall nicht übertragbar, da es hier nicht um mit der Scraping-Thematik vergleichbare Datenschutzverstöße gehe. Jedenfalls habe der Kläger einen Kontrollverlust schon nicht hinreichend dargelegt. Einem Schadensersatzanspruch nach § 823 Abs. 1 BGB i.V.m. mit dem Recht auf informationelle Selbstbestimmung stehe insbesondere entgegen, dass Schadensersatz nach nationalem Recht nicht mit EU-rechtlichen Vorschriften begründet werden könne, da dies die Schadensersatzvoraussetzungen der DSGVO umgehen würde.

Nach alledem bestehe auch kein Freistellungsanspruch von vorgerichtlichen Rechtsanwaltskosten. Außerdem habe das Landgericht fehlerhaft festgestellt, dass der Beklagten eine vorgerichtliche Aufforderung zugegangen sei. Dies habe sie durchgehend bestritten. Im Übrigen sei der Ersatzanspruch gemäß § 86 Abs. 1 VVG auf den Rechtsschutzversicherer übergegangen, so dass jedenfalls der Kläger keinen dahingehenden Anspruch auf Freistellung mehr haben könne.

Der Senat hat am 12.01.2026 mündlich verhandelt. Insoweit wird Bezug genommen auf das Sitzungsprotokoll (Bl. 231 – 234 d.A.).

Mit nach Schluss der mündlichen Verhandlung in nicht nachgelassener Frist eingereichtem Schriftsatz vom 27.01.2026 hat der Kläger zu einer möglichen Verneinung eines Auskunftsanspruchs in Bezug auf die Benennung dritter Empfänger von personenbezogenen Daten Stellung genommen (Bl. 236 f. d.A.).

Die Beklagte hat in nachgelassener Frist mit Schriftsatz vom 30.01.2026 zum Schriftsatz des Klägers vom 09.01.2026 Stellung genommen und insbesondere weiter zu einer Verarbeitung personenbezogener Daten aus Sicherheits- und Integritätszwecken sowie zu möglichen technischen Einschränkungen des Empfangs der von Dritten übermittelten Daten vorgetragen. Wegen der Einzelheiten wird auf S. 2 bis 7 des Schriftsatzes Bezug genommen (Bl. 255 – 260 d.A.). Des Weiteren hat sie auf ein neuerliches Auskunftsschreiben vom selben Tag, gerichtet an die Prozessbevollmächtigten des Klägers verwiesen.

II.

Die Berufung ist zulässig und überwiegend begründet.

Sie wurde form- und fristgemäß nach §§ 517, 519 ZPO eingelegt und den Anforderungen des § 520 Abs. 3 ZPO entsprechend innerhalb der verlängerten Fristen ordnungsgemäß begründet.

Auf die Berufung ist das landgerichtliche Urteil im tenorierten Umfang betreffend die Hauptforderungen Auskunft, Löschung und Schadensersatz abzuändern und die Berufung im Übrigen – betreffend einen Teil des Auskunfts- und Löschungsbegehrens sowie die Kosten vorgerichtlicher Rechtsverfolgung – zurückzuweisen.

Die Klage ist zulässig.

Die unbeschadet von § 513 Abs. 2 ZPO auch in der Berufungsinstanz von Amts wegen zu prüfende internationale Zuständigkeit der deutschen Gerichtsbarkeit (vgl. BGH, Urteil vom 28.11.2002 – III ZR 102/02, Rn. 9, juris) ist gegeben. Sie folgt aus Art. 79 Abs. 2 DSGVO, nach dem die Gerichte des Mitgliedstaats, in dem wahlweise eine Niederlassung des Verantwortlichen bzw. Auftragsverarbeiters besteht oder in dem die betroffene Person ihren Aufenthaltsort hat, zuständig sind.

Sämtliche vom Kläger gestellte Anträge sind zulässig. Soweit betreffend den Antrag zu 2. die mit der Berufungsbegründung angekündigte Antragsstellung den Löschungsanspruch zeitlich mit einer vollständigen Auskunftserteilung verknüpft hatte und insoweit Bedenken des Senats hinsichtlich der hinreichenden Bestimmtheit nach § 253 Abs. 2 Nr. 2 ZPO bestanden, ist der Antrag mit dem nunmehr zur Entscheidung gestellten Inhalt zulässig. Die Löschung wird sechs Monate nach rechtskräftigem Verfahrensabschluss begehrt, was einen im Vollstreckungsverfahren zweifelsfrei feststellbaren und damit damit hinreichend bestimmbaren Zeitpunkt darstellt. Es handelt sich um eine nach § 264 Nr. 2 ZPO privilegierte und damit ohne Zustimmung des Gegners oder Sachdienlichkeit nach § 263 ZPO zulässige Antragsänderung. Denn der Streitgegenstand bleibt gleich, während lediglich das diesem zugeordnete klägerische Begehr qualitativ modifiziert wird. Dies gilt auch, soweit der Kläger den Antrag nach Hinweis des Senats auf das Nichtbestehen eines Anspruchs auf Anonymisierung umfassend auf Löschung der betreffenden Daten umgestellt hat.

Die Klage, auf die nach Art. 6 I lit. b Rom I-VO wegen des Vorliegens eines Verbrauchervertrages deutsches Recht anzuwenden ist, ist hinsichtlich des immateriellen Schadensersatzes (Antrag zu 3., nachfolgend 3.) vollständig und hinsichtlich der Anträge auf Auskunft (Antrag zu 1., nachfolgend 1.) und Löschung (Antrag zu 2., nachfolgend 2.) überwiegend begründet. Betreffend die Kosten vorgerichtlicher Kosten der Rechtsverfolgung (Antrag zu 4.) steht dem Kläger hingegen kein Anspruch zu (nachfolgend 4.).

1. Klageantrag zu 1. – Auskunft

Der Kläger hat gegenüber der Beklagten ein Auskunftsrecht nach Art. 15 Abs. 1 DSGVO . Der Anspruch ist nicht infolge des Antwortschreibens der Beklagten erfüllt. Lediglich betreffend die Benennung der an Dritte übermittelten Daten ist der Anspruch wegen Unmöglichkeit nach § 275 Abs. 1 BGB erloschen.

a)

Der Kläger hat dem Grunde nach ein Auskunftsrecht gegen die Beklagte nach Art. 15 Abs. 1 DSGVO.

Ein solches hat die von einer Datenverarbeitung betroffene Person gegenüber dem Verantwortlichen. Verantwortlicher ist nach Art. 4 Nr. 7 1. Hs DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Hier hat die Beklagte unbeschadet einer zwischen ihr und den Dritten im Einzelnen vorzunehmenden Differenzierung der Zurechnung für etwaige Datenschutzverstöße aufgrund der Konzeption und Bereitstellung der „M Business Tools“ die Entscheidungshoheit über Gegenstand und Umfang der mit Hilfe der Tools erfassbaren personenbezogenen Daten. Dass sie nicht darüber entscheidet, ob und wenn ja in welchem Umfang die Dritten von den Möglichkeiten der Tools Gebrauch machen, ist für die Eigenschaft als Verantwortliche mit Blick auf die Auskunft nicht von Bedeutung. Für die personenbezogenen Daten, die ihr von Dritten übermittelt werden und die sie sodann unter Verknüpfung mit einem in einem ihrer sozialen Netzwerke hinterlegten Profil speichert und für weitere Zwecke, namentlich zur Personalisierung von Werbung, verwendet, ist allein sie verantwortlich (vgl. die Parallelentscheidung LG Stuttgart, Urteil vom 24. Oktober 2024 – 12 O 170/23 –, Rn. 55, juris).

Bei den vom Kläger in seinem Antrag zu 1.a) benannten Datenpunkten handelt sich jeweils um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Hierunter fallen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (vgl. EuGH, Urt. v. 4. 5. 2023, österreichische Datenschutzbehörde und CRIF, C 487/21, Rn. 23 und die dort angeführte Rechtsprechung; Schreiber in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, II. Personenbezogene Daten (Nr. 1), Rn. 3 ff.). Die Beklagte hat nicht substantiiert bestritten, dass die im Antrag genannten Datenpunkte über die „M Business Tools“ erfasst werden können und dass sie – sobald sie von Dritten an sie übermittelt werden – dem jeweiligen I-Nutzerprofil zugeordnet und zu diesem gespeichert werden. Insofern sind neben den augenscheinlich personenbezogenen Daten wie E-Mail-Adresse, Telefonnummer, Name usw. auch die technischen Daten wie IP-Adressen, User-Agent, interne Klick-ID, URL usw. als personenbezogene Daten anzusehen. Denn sie haben jeweils den im Sinne der Definition erforderlichen konkreten Bezug zu einer bestimmten natürlichen Person, nämlich zu jener, die hinter dem Benutzerprofil im Sozialen Netzwerk bei der Beklagten steht. Dieser werden – gerade zum Zweck der Identifizierung und zur Aufzeichnung des Nutzungsverhaltens – auch jene technischen Informationen zugeordnet. Sie ermöglichen die Analyse, welche Webseiten der Kläger wann besuchte, von welcher Webseite er dort hingelangte und welche Aktionen er dort vornahm.

Zur gerichtlichen Geltendmachung des Auskunftsrechts bedarf es keiner Darlegung des Klägers, welche Webseiten (potentiell) den „M Pixel“ oder andere „M Business Tools“ nutzen und welche er davon besucht. Die Schlüssigkeit des Anspruchs besteht auch ohne derartige Angaben. Für die Schlüssigkeit ist die Behauptung von Tatsachen erforderlich, die in Verbindung mit einem Rechtssatz geeignet sind, das geltend gemacht Recht als in der Person des Klägers entstanden erscheinen zu lassen (BGH, Beschluss vom 11. Februar 2025 – VI ZR 185/24 –, Rn. 10, juris). Für das Bestehen eines Auskunftsrechts über die in Art. 15 Abs. 1 Hs. 2 DSGVO aufgelisteten Informationen verlangt die Norm nicht mehr als die schlüssige Behauptung des Anspruchsstellers, dass er selbst betroffene Person und der Anspruchsgegner Verantwortlicher ist, der – nur allgemein und nicht spezifisch – personenbezogene Daten über ihn verarbeitet. Es ist schließlich gerade Sinn und Zweck des Auskunftsrechts, dem Betroffenen Einblick in das Ob und Wie der Verarbeitung personenbezogener Daten zu geben und so eine informierte und umfassende Überprüfung der Rechtmäßigkeit der Verarbeitung zu ermöglichen (Paal/Pauly/Paal, 4. Aufl. 2026, VO (EU) 2016/679 Art. 15 Rn. 3). Zur wirksamen Ausübung dieses Rechts die umfassende spezifische Darstellung des eigenen Nutzungsverhaltens im Internet zu fordern, würde dessen Wirksamkeit konterkarieren.

Entgegen der Auffassung der Beklagten steht der prozessualen Geltendmachung auch nicht entgegen, dass der Kläger es vermeintlich versäumt, den oder die Verarbeitungszwecke zu benennen, gegen die er sich wehren will. Eine solche Anforderung ist dem Auskunftsrecht fremd und würde ebenfalls seine Wirksamkeit grundlegend infrage stellen. Für die Ausübung des Auskunftsrechts muss sich die betroffene Person gegen nichts wenden. Sie kann es allein schon aufgrund des Bestehens einer Verarbeitung personenbezogener Daten durch den Verantwortlichen ausüben. Soweit die Beklagte – wohl auch in Bezug auf den Auskunftsanspruch – grundlegend mit der Architektur des Internets argumentiert, ausweislich derer Funktionen wie die streitgegenständlichen ein allgegenwärtiger und integraler Bestandteil der alltäglichen Internetnutzung sein sollen, vermag dies – jenseits der fragwürdigen Einordnung der „Tools“ als der Natur des Internets immanente Bestandteile – das Recht aus Art. 15 Abs. 1 DSGVO weder grundsätzlich noch in Bezug auf einzelne, namentlich technische Datenpunkte in Frage zu stellen. Eine einschränkende Auslegung der Norm dahingehend, dass Informationen, die einem technischen Erfordernis geschuldet sind, von der Auskunft ausgenommen sind, wäre ebenfalls mit dem Zweck der DSGVO, die Datenhoheit des Einzelnen zu stärken und Transparenz zu schaffen, wozu Art. 15 DSGVO einen wesentlichen Beitrag leistet, nicht vereinbar. Im Übrigen zeigt Erwägungsgrund Nr. 30 zur Verordnung ausdrücklich, dass sich der EU-Gesetzgeber bewusst war, dass auch und gerade technische Informationen dazu benutzt werden können, Profile der natürlichen Personen zu erstellen und sie zu identifizieren (vgl. insoweit die Parallelentscheidung LG Leipzig, Urteil vom 15. August 2025 – 05 O 1939/24 –, Rn. 87, juris).

Die Beklagte kann den Anspruch schließlich auch nicht dadurch zu Fall bringen, dass sie aus dem Umstand einer gleichlautenden Antragsstellung in Tausenden von Parallelverfahren ein rechtsmissbräuchliches, die Beklagte schikanierendes Verhalten ableitet. Auch hier verkennt die Beklagte, dass das Auskunftsrecht im Ausgangspunkt überhaupt nicht an ein irgendwie geartetes rechtliches Interesse geknüpft ist, sondern sich allein aus dem Umstand ergibt, dass der Verantwortliche personenbezogene Daten über die betroffene Person verarbeitet. Dass der Antrag gleichlautend mit zahlreichen parallelen Klagen lautet, ist offensichtlich weder missbräuchlich noch schikanös. Die Geltendmachung des Auskunftsrechts hat erkennbar von vornherein keinen individuellen Einschlag, der sich auf die betroffene Person bezieht, sondern sie dient letztlich der Offenlegung weitgehend sämtlicher Informationen, die zu einer natürlichen Person verarbeitet worden sind. Mit anderen Worten ist die in einer Vielzahl von Fällen gleichlautende abstrakt auf bestimmte Datenkategorien abstellende Geltendmachung Ausfluss der Natur des Auskunftsrechts selbst, nicht aber einer auf Rechtsmissbrauch zielenden Behandlung der Beklagten. Dies folgt auch aus Art. 12 Abs. 5 DSGVO, der das Weigerungsrecht des Verantwortlichen bei exzessiven Anträgen an die Antragstellung einer betroffenen Person koppelt und damit die gleichlautende Antragsstellung einer Vielzahl unterschiedlicher Personen gerade nicht erfasst.

Soweit der Kläger seinen Antrag auch auf die aus anderer Datenverarbeitung als jener mittels „M Business Tools“ stammenden Informationen bezieht, ist der Anspruch ebenfalls dem Grunde nach gegeben. Eine Beschränkung auf bestimmte Datenverarbeitungsvorgänge besteht nach Art. 15 DSGVO nicht. Vielmehr handelt es sich um ein allgemeines Auskunftsrecht, das sich auf die von dem Verantwortlichen verarbeiteten Daten und bestimmte M-informationen der Datenverarbeitung erstreckt (Kühling/Buchner/Bäcker, 4. Aufl. 2024, DSGVO Art. 15 Rn. 1).

b)

Entgegen der Auffassung des Landgerichts hat die Beklagte den Anspruch des Klägers auf Auskunft mit ihrem Antwortschreiben nicht nach § 362 BGB erfüllt.

Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (BGH, Urteil vom 15. Juni 2021 – VI ZR 576/19 –, Rn. 19 – 20, juris).

Ausgehend von den genannten rechtlichen Maßstäben hat das Landgericht die Erfüllung des Auskunftsanspruchs mit der Begründung angenommen, dass die Beklagte mit ihrem Antwortschreiben dem klägerischen Begehren, so wie sie es auslegt, nachgekommen sein wolle, sie demgemäß selbst von Erfüllung ausgehe, was für einen Anspruch auf Ergänzung keinen Raum lasse.

Dies kann keinen Bestand haben. Das Landgericht wendet die vorgenannten Grundsätze in einer Weise an, die es letztlich in das Belieben des Auskunftsschuldners stellt, durch eigene Auslegung des Auskunftsbegehrens und durch die hierzu abgegebenen Erklärung, man sei mit der erteilten Information diesem vollständig nachgekommen, die Reichweite des Rechts selbst zu bestimmen. Dies führt zu einer Entwertung des Auskunftsrechts, die sich weder nach der vorstehenden Rechtsprechung als erforderlich noch mit dem europarechtlichen Grundsatz des effet utile als vereinbar erweist.

Die Beklagte hat in ihrem Antwortschreiben ausgeführt, dass sich das Verlangen des Klägers nach ihrem Verständnis auf die zum Zweck der Anzeige personalisierter Werbung auf F bzw. I erhaltenen Daten beziehe und dies als „streitgegenständliche Datenverarbeitung“ bezeichnet. Nach diesem Verständnis musste sie dann auch keine konkret gespeicherten Daten angeben, da der Kläger ausweislich der Klageschrift über die Einstellung „Informationen über Aktivitäten von Werbepartner“ keine Einwilligung gegeben hat.

Diese Art der Behandlung des Auskunftsverlangens ist gleichbedeutend mit einer Nichterklärung bzw. Ablehnung. Der Kläger hat weder mit dem – hinsichtlich des Zugangs von der Beklagten bestrittenen – außergerichtlichen Schreiben noch mit der Klageschrift noch mit einem späteren Schriftsatz das Auskunftsbegehren auf den Verarbeitungszweck personalisierte Werbung beschränkt oder auch nur ansatzweise Anlass für ein solches Verständnis gegeben. Vielmehr hat er zu jedem Zeitpunkt deutlich gemacht, dass er unabhängig von einem spezifischen – seinem Verständnis nach ohnehin nicht nachvollziehbaren – Verarbeitungszweck sämtliche der im einzelnen benannten Datenpunkte, die von sämtlichen Dritt-Webseiten und Apps im maßgeblichen Zeitraum an die Beklagte übermittelt und von dieser gespeichert wurden, beauskunftet wissen will.

Im Einzelnen:

Zum Auskunftsbegehren unter Ziff. 1.a. bis c. des Antrags (von der Beklagten zusammengefasst als „Begehren 1“) hat sich die Beklagte durch willentliche Fehlinterpretation des Begehrens nicht erklärt. Erfüllung ist demgemäß nicht eingetreten und die Auskunft ist nachzuholen (so in Parallelfällen auch LG Berlin II, Urteil vom 4. April 2025 – 39 O 218/24 –, Rn. 72, juris; LG Leipzig, Urteil vom 15. August 2025 – 05 O 1939/24 –, Rn. 102, juris). Der zu diesem Begehren ergänzend erklärte Verweis auf ein sog. Self-Service-Tool kann aus den gleichen Gründen keine Erfüllung bewirken, denn auch dieses Tool ist auf die Datenverarbeitung zum Zweck der Anzeige personalisierter Werbung beschränkt und zudem nach dem unstreitigen Klägervorbringen nicht geeignet, neben den Aktivitäten innerhalb des sozialen Netzwerks auch die – im vorliegenden Fall allein maßgeblichen – Aktivitäten außerhalb desselben (sog. „Off-F-Daten“) zu beauskunften.

Unter „Begehren 3“ fasst das Antwortschreiben der Beklagten das Auskunftsverlangen darüber, welche konkreten Daten sie seit dem 25.05.2018 zu welchem Zeitpunkt in welchem Drittstaat gespeichert hat, zusammen. Die Beklagte ist auch hierzu zur Auskunft verpflichtet, ohne dass sie ihrer Verpflichtung bislang genügt hat.

Soweit sie meint, der Anwendungsbereich des Art. 15 Abs. 1 DSGVO beziehe Informationen über den Drittstaat, in dem die betreffenden Daten gespeichert werden, nicht ein, geht sie fehl. Zum Teil wird zwar vertreten, dass aus Art. 15 Abs. 2 DSGVO eine solche Einschränkung folgt, da dieser bei Übermittlung personenbezogener Daten an ein Drittland lediglich das Recht vorsieht, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden (so in einem Parallelfall LG Kiel, Urteil vom 10. Oktober 2024 – 6 O 274/23 –, Rn. 77, juris mwN zu der in der Literatur vertretenen Auffassung).

Dem ist aus Sicht des Senats jedoch nicht zu folgen. Eine Lesart, wonach Art. 15 Abs. 2 DSGVO eine Sperrwirkung dergestalt entfaltet, dass der Betroffene bei der Drittstaatenübermittlung zwar über geeignete Garantien im Sinne von Art. 46 DSGVO unterrichtet werden muss, indes kein Anspruch auf Information darüber bestehen soll, in welche Drittstaaten überhaupt personenbezogene Daten übermittelt werden, schränkt die Transparenz für den Betroffenen entgegen des Regelungszwecks erheblich ein. Der Betroffene soll mit dem Anspruch aus Art. 15 DSGVO Einblick in das Ob und Wie der Verarbeitung personenbezogener Daten bekommen und ihm soll so eine informierte und umfassende Überprüfung der Rechtmäßigkeit der Verarbeitung ermöglicht werden. Dies schließt notwendigerweise die Frage ein, welche Art personenbezogener Daten in welchen Drittstaat übermittelt werden. Nur wenn dies bekannt ist, macht die weitere Information des Art. 15 Abs. 2 DSGVO über geeignete Garantien im Sinne von Art. 46 DSGVO überhaupt Sinn. Denn wie sich aus der Lektüre der einzelnen Bestimmungen über hinreichende Garantien entnehmen lässt, stehen diese – naheliegenderweise – in Abhängigkeit vom Datenschutzniveau und dem Vorhandensein geeigneter Rechtsbehelfe für Betroffene im spezifischen Drittland. Entsprechend hat der EuGH in seiner Rechtsprechung festgehalten, dass für die betroffenen Personen bei Übermittlungen auf Basis von Artikel 46 DSGVO ein Schutzniveau gewährleistet sein muss, das mit dem in der Europäischen Union gewährleisteten der Sache nach gleichwertig ist, was namentlich auch von der Rechtsordnung des betreffenden Landes abhängt (EuGH, Urteil vom 16. Juli 2020 – C-311/18 –, Rn. 105, juris). Mithin ist dem Anspruch aus Art. 15 Abs. 2 DSGVO die Information darüber, welche Art Daten in welchem Drittland gespeichert werden, immanent. Der Betroffene kann daher auch unabhängig von einem Informationsbegehren über Garantien nur die Information über die Benennung spezifischer Drittländer als Speicherorte verlangen (so auch LG Leipzig, Urteil vom 15. August 2025 – 05 O 1939/24 –, Rn. 109, juris).

Soweit die Beklagte trotz ihrer einschränkenden Rechtsauffassung zur Drittstaatenübermittlung auf das Begehren eingeht, handelt es sich um keine Erfüllung des Auskunftsrechts. Sie beschränkt ihre Antwort diesbezüglich zwar nicht auf den von ihr unzutreffend als allein streitgegenständlich bezeichneten Verarbeitungszweck der Bereitstellung personalisierter Werbung. Ihr Vorgehen, einerseits auf die Möglichkeit, im I-Konto auf die Funktionen „Zugriff auf deine Informationen“ und „Deine Informationen herunterladen“ zu verweisen, andererseits zur Speicherdauer und den Drittländern nur durch Wiedergabe der Datenschutzrichtlinie allgemeine – weitgehend nichtssagende – Informationen („Wir behalten deine Informationen so lange, wie wir sie brauchen, um unsere Produkte bereitzustellen, rechtliche Verpflichtungen zu erfüllen oder unsere Interessen oder die Interessen anderer zu schützen; Orte, an denen wir Infrastruktur oder Rechenzentren haben, wie u. a. die USA, Irland, Dänemark und Schweden; Länder, in denen Produkte der M-Unternehmen verfügbar sind; Andere Länder außerhalb des Landes, in dem du lebst, in denen unsere Partner, Anbieter, Dienstleister und sonstige Dritte ansässig sind, für die in dieser Richtlinie beschriebenen Zwecke…“ ) bereitzustellen, stellt keine individuelle Auskunft an den Kläger dar. Die Antwort ist damit von vornherein nicht geeignet, den Auskunftsanspruch zu erfüllen (so auch in einem Parallelfall LG Leipzig, Urteil vom 15. August 2025 – 05 O 1939/24 –, Rn. 108, juris).

Ebenfalls keine Erfüllung nach § 362 BGB liegt vor, soweit sich das Antwortschreiben unter „Begehren 4“ zum Auskunftsverlangen betreffend die Verwendung personenbezogener Daten für eine automatisierten Entscheidungsfindung einschließlich Profiling, wie es in Art. 15 Abs. 1 lit. h DSGVO ausdrücklich geregelt ist, äußert (so auch in Parallelentscheidungen LG Leipzig, Urteil vom 15. August 2025 – 05 O 1939/24 –, Rn. 110, juris; LG Münster, Urteil vom 29.01.2025, 4 O 241/23, S. 13, Bl. 227 Anlagenheft Kläger, 2. Inst.). Im Schreiben heißt es hierzu lediglich: „M hat keine Verarbeitung in Bezug auf die personenbezogenen Daten Ihres Kunden festgestellt, die in den Anwendungsbereich von Art. 22 Abs. 1 DSGVO fällt.“

Diese Auskunftserteilung ist einerseits insoweit unklar, als die Beklagte sich hier nicht dazu äußert, ob sie – wie sonst teilweise auch – eine Beschränkung auf eine Auskunft zum Verarbeitungszweck der Bereitstellung personalisierter Werbung vornimmt. Zum anderen ist die Auskunft jedenfalls unvollständig, denn sie informiert nur darüber, dass es in der Vergangenheit eine solche Verwendung nicht gegeben haben soll. Art. 15 Abs. 1 lit. h DSGVO und ausdrücklich auch das Auskunftsbegehren des Klägers beschränken sich indes nicht auf die Vergangenheit, sondern verlangen – zukunftsgerichtet – Informationen darüber, ob die eine automatisierte Entscheidungsfindung „besteht“ bzw. im Fall des klägerischen Antrags, ob die personenbezogenen Daten für eine solche „verwendet werden“. Die Beklagte muss daher Auskunft erteilen, ob derartige Systeme grundsätzlich vorhanden sind und zur Anwendung kommen können einschließlich der weiteren in Art. 15 Abs. 1 lit. h genannten Informationen hierzu. Schließlich ist die Auskunft auch insoweit – zu Lasten der verpflichteten Beklagten – unvollständig als sie durch Begrenzung auf die Nicht-Feststellung einer solchen Verarbeitung nichts darüber sagt, ob nicht gleichwohl (ohne dass dies zwingend nachträglich feststellbar sein muss) eine solche Entscheidungsfindung zur Anwendung gekommen sein kann.

Keinen Auskunftsanspruch hat der Kläger indessen zu der unter „Begehren 2“ von der Beklagten zusammengefassten Benennung Dritter, an die sie Daten übermittelt hat. Dem Anspruch steht Unmöglichkeit nach § 275 Abs. 1 BGB entgegen.

Zwar hat die Beklagte sich auch hier wie vorstehend zunächst zu Unrecht auf den Verarbeitungszweck der Bereitstellung von personalisierter Werbung beschränkt. Im Weiteren gibt sie aber – insoweit ausdrücklich anerkennend, dass das Begehren über die „streitgegenständliche Datenverarbeitung“ hinausgeht – Auszüge ihrer Datenschutzrichtlinie wieder um damit zu beschreiben, welche Kategorien Dritter welche Arten von Daten erhalten können. Zu der – nach inzwischen erfolgter Klärung durch den EuGH (vgl. EuGH, Urteil vom 12. Januar 2023 – C-154/21 –, Rn. 51, juris) – vom Auskunftsanspruch nach Art. 15 lit c. DSGVO umfassten Identität der Empfänger enthält das Schreiben auf S. 9 die Ausführung: „Darüber hinaus hat M ihre Aufzeichnungen überprüft und, auf Grundlage der verfügbaren Informationen, keine Aufzeichnungen über individuellen Empfänger der personenbezogenen Daten Ihrer Mandantschaft.“

Hinsichtlich der Identität individueller Empfänger beruft sich die Beklagte damit auf Unmöglichkeit im Sinne von § 275 Abs. 1 BGB, was nach der vorgenannten Rechtsprechung des EuGH ein anerkannter Fall ist, in welchem der Verantwortliche seine Mitteilung auf die Kategorien von Empfängern beschränken darf (EuGH, aaO, Rn. 58). Eine solche Mitteilung enthält das Schreiben durch auszugsweise Wiedergabe der Datenschutzrichtlinie. Der Kläger hat das Vorbringen der Beklagten zur Überprüfung ihrer Aufzeichnungen bis zuletzt nicht bestritten. Der Auskunftsanspruch ist damit wegen Unmöglichkeit untergegangen. Das Bestreiten erst nach Schluss der mündlichen Verhandlung im Berufungsverfahren in nicht nachgelassener Frist mit Schriftsatz vom 27.01.2026 ist unbeachtlich und gebietet die Wiedereröffnung der mündlichen Verhandlung nach § 156 Abs. 1 ZPO nicht.

c)

Eine von den vorstehenden Ausführungen abweichende Würdigung des Auskunftsantrags zu 1. ist nicht gerechtfertigt, soweit die Beklagte mit Schriftsatz vom 30.01.2026 ein erneutes Auskunftsschreiben mit selbigem Datum übermittelt hat. Es handelt sich um Vorbringen nach Schluss der mündlichen Verhandlung, das nach § 296a ZPO der Zurückweisung unterliegt. Das Vorbringen fällt nicht unter die der Beklagten nach § 283 S. 1 ZPO im Verhandlungstermin gewährte Stellungnahmefrist zum Schriftsatz des Klägers vom 09.01.2026. Denn der Auskunftsanspruch und dessen Nichterfüllung durch das Schreiben vom 24.06.2024 waren nicht Gegenstand des klägerischen Schriftsatzes.

Ein zwingender Grund zur Wiedereröffnung nach § 156 Abs. 2 ZPO liegt nicht vor. Von dem nach § 156 Abs. 1 ZPO bestehenden Ermessen macht der Senat keinen Gebrauch, da keine andere Entscheidung in der Sache in Betracht kommt. Das neuerliche Auskunftsschreiben wird den genannten Anforderungen erneut nicht gerecht. Abgesehen davon richtet es sich an die Prozessbevollmächtigten des Klägers, obwohl klägerseits erstinstanzlich ausdrücklich erklärt worden war, dass allein eine unmittelbare persönliche Auskunft an den Kläger verlangt werde (S. 41-44 d. Schriftsatzes vom 22.08.2024 (Bl. 187-190 d.A. 1. Inst.), weshalb eine Empfangsvollmacht seiner Prozessbevollmächtigten nicht besteht. Erfüllung gem. § 362 BGB scheidet daher schon aus diesem Grund unabhängig vom unzureichenden Inhalt aus.

2. Klageantrag zu 2. – Löschung

Der Kläger hat einen Anspruch gegen die Beklagte auf Löschung seiner im Antrag zu 1 benannten und von der Beklagten verarbeiteten personenbezogenen Daten gem. Art. 17 Abs. 1 DSGVO, soweit diese auf der Anwendung der „M Business Tools“ beruhen (nachfolgend a) bis c)). Soweit darüber hinaus durch die Verknüpfung mit dem Antrag zu 1. nach dem Wortlaut des Antrags auch eine Löschung von personenbezogenen Daten aus anderen Quellen, namentlich der Nutzung der I-Plattform selbst, begehrt wird, ist der Antrag hingegen unbegründet (nachfolgend d)).

Es liegen die Anspruchsvoraussetzungen des Art. 17 Abs. 1 lit. d DSGVO vor und der daraus resultierende Löschungsanspruch ist nicht ausnahmsweise nach Art. 17 Abs. 3 DSGVO ausgeschlossen.

aa)

Die Beklagte verarbeitet die aufgrund der Nutzung ihrer „M Business Tools“ durch Dritte anfallenden und von diesen an die Beklagte übermittelten personenbezogenen Daten unrechtmäßig. Das Klägervorbringen ist schlüssig (1). Die Beklagte ist als Verantwortliche passiv legitimiert (2). Eine Rechtfertigung ihrer Datenverarbeitung nach Art. 6 DSGVO besteht nicht (3).

Der Kläger hat entgegen der Auffassung des Landgerichts hinreichend nach § 138 Abs. 1 ZPO zur nicht von seiner Einwilligung gedeckten Verarbeitung der bei Nutzung des Internets anfallenden personenbezogenen Daten durch die Beklagte vorgetragen.

Der Kläger beschränkt sich allerdings darauf, nur beispielhaft Webseiten und Apps aufzuzählen, auf denen sich die Aktivität von „M Business Tools“ nachweisen ließ, ohne im Einzelnen darzulegen, ob und wenn ja wann und in welchem Umfang er diese Webseiten besucht und so eine Übermittlung personenbezogener Daten des Klägers an die Beklagte stattgefunden hat. Für die von ihm genannten Webseiten erläutert er beispielhaft, dass und wie es zu einer Datenübermittlung zu einem Zeitpunkt kommt, zu dem noch keine Möglichkeit für den Nutzer besteht, eine Einwilligung zu erteilen oder diese zu versagen. Ferner beschreibt er die technische Ausgestaltung der jüngeren Applikationen „Conversion API“ und „App Events API“ einschließlich der für den Nutzer nicht bestehenden Erkennbarkeit ihrer Datenerfassung.

Diesen grundlegenden Vortrag bestreitet die Beklagte nicht, sondern vertritt die Auffassung, dass sie einerseits für ein ihren eigenen Nutzungsbedingungen widersprechendes Vorgehen Dritter bei der Datenübermittlung nicht verantwortlich sei, andererseits der Kläger konkret vortragen müsse, auf welchen Webseiten und Apps, die „M Business Tools“ nutzen, er aktiv sei, damit sie überhaupt in der Sache erwidern müsse. Kein erhebliches Bestreiten der Funktionsweise und allgemeinen Reichweite der „M Business Tools“ liegt darin, dass die Beklagte erstmals in der zweiten Instanz für April 2025 – Juni 2025 einige wenige Webseiten aus der Anlage K 13 benennt und darlegt, dass diese keine Informationen an M übermittelt hätten (Bl. 91 f. d.A. 2. Inst.). Denn der streitgegenständliche Zeitraum beginnt im Mai 2018, so dass der Vortrag allenfalls einen kleinen Ausschnitt des streitgegenständlichen Geschehens erfasst und insbesondere nichts darüber aussagt, in welchem Umfang die „M Business Tools“ vor dem jüngsten Bekanntwerden der datenschutzrechtlichen Problematik von Dritten genutzt wurden.

Das Landgericht hat sich der Auffassung der Beklagten zur Vortragslast der Kläger angeschlossen und den Klägervortrag für nicht ausreichend erachtet, um die Rechtswidrigkeit der Datenverarbeitung zu begründen. Es vermisst hier – ohne insoweit klarzustellen, ob es von fehlender Substantiierung oder Beweisfälligkeit ausgeht – einen Nachweis darüber, welche Webseiten und Apps der Kläger in welchem Umfang und wann genutzt hat und inwiefern die Einbindung der streitgegenständlichen „Business M Tools“ gerade bezogen auf ihn erfolgt ist, wobei auch der Nachweis fehle, inwiefern dadurch die besonders sensiblen personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO verarbeitet worden seien. Der Nachweis eines Verstoßes gegen Art. 6 Abs. 1 DSGVO sei daher nicht ersichtlich.

Dem ist nach Auffassung des Senats nicht zu folgen. Die Behandlung des Klägervorbringens durch das Landgericht wird den prozessualen Maßstäben des § 138 ZPO nicht gerecht, da sie einerseits praktisch Unmögliches verlangt und so die Gefahr einer Verletzung des Anspruchs auf rechtliches Gehör nach Art. 103 Abs. 1 GG begründet, andererseits auch eine spezifische Betrachtung der klägerischen Behauptungen und des darin begründeten Vorwurfs rechtswidriger Datenverarbeitung nebst der sich hieraus ergebenden Verteilung der Darlegungs- und Beweislast nach dem materiellen Datenschutzrecht vermissen lässt.

Zunächst ist es einzelnen Internet-Nutzern kaum möglich, unter Einhaltung der Wahrheitspflicht und der Pflicht zu vollständigem Vortrag nach § 138 Abs. 1 ZPO ihre gesamten im streitgegenständlichen Zeitraum von gut fünf Jahren erfolgten Bewegungen im Internet darzulegen. Soweit die Beklagte darauf verweist, der Kläger sei selbst am besten in der Lage, anzugeben, welche Drittwebsites er besucht habe, da dies lediglich erfordere, dass er seinen Browserverlauf überprüfe, geht sie erkennbar fehl, da Browserverläufe, zumal bei der Nutzung unterschiedlicher Endgeräte und deren Ersetzung im Zeitverlauf, regelmäßig nicht über einen so langen Zeitraum gespeichert werden. Eine Pflicht, solche Verlaufsprotokolle vorzuhalten, besteht nicht, vielmehr erscheint ein solches Verhalten aus individueller Sicht aus Gründen der Datensparsamkeit und des Datenschutzes gerade nicht opportun. So hätten vor allem die Nutzer, die darauf achten, wenig Spuren im Internet zu hinterlassen und u.a. Browserverläufe entweder nach jeder Nutzung oder wenigstens in kürzeren Abständen zu löschen, keinen Zugang zu dieser Recherchemöglichkeit. Einem Kläger abzuverlangen, seine gesamte Internetnutzung über einen solch langen Zeitraum im Einzelnen darzulegen, erschwert damit in hohem Maße deren Möglichkeiten, die Rechtmäßigkeit der Datenverarbeitung durch die Beklagten einer gerichtlichen Überprüfung zu unterziehen (vgl. ähnlich LG Lübeck, Urteil vom 27. November 2025 – 15 O 15/24 –, Rn. 88, juris). Dies erscheint nicht nur mit Blick auf Art. 103 Abs. 1 GG, sondern spezifisch datenschutzrechtlich wegen des in Art. 79 Abs. 1 DSGVO verbrieften Rechts auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche, von denen Betroffene meinen, sie verletzen ihre Pflichten bei Verarbeitung ihrer personenbezogenen Daten, äußerst bedenklich und demzufolge nicht überzeugend.

Die vom Landgericht angenommenen Darlegungsanforderungen sind aber auch deshalb überspannt, weil sie am eigentlichen Sachvortrag des Klägers, den er einer rechtlichen Bewertung zuführen will, vorbeigehen. Dieser behauptet, dass die „M Business Tools“ in ihrer Funktionsweise darauf angelegt seien, das Internet-Nutzungsverhalten der Nutzer von F und I außerhalb dieser sozialen Netzwerke systematisch zu erfassen, wobei die Erhebung von personenbezogenen Daten und deren Übermittlung an die Beklagte – jedenfalls auch – ohne Einwilligung in den sozialen Netzwerken der Beklagten bzw. den Dritt-Webseiten und -Apps stattfinde. Er wendet sich daher von vornherein gar nicht gegen einzelne Datenübermittlungen, sondern gegen die Anwendung der „M Business Tools“ auf seine Person als solche, welche dazu führten, dass seine außerhalb der sozialen Netzwerke der Beklagten liegende Internetnutzung ohne seine Zustimmung von der Beklagten gleichsam überwacht werde. Dass eine solche zustimmungslose Datenerfassung und -übermittlung grundsätzlich möglich ist, stellt die Beklagte dabei nicht in Frage, sondern geht rechtlich davon aus, dass sie aufgrund der von ihr aufgestellten Nutzungsbedingungen für die „M Business Tools“, die mit Dritten zusätzlich vereinbarten Datenverarbeitungsbedingungen sowie den Dritten bereitgestellten Informationen zur Blockierung bzw. Pausierung von Datenübermittlungen bei (noch) fehlender Einwilligung nicht verantwortlich dafür ist, wenn es zu einem solchen Vorfall kommt. Abgesehen davon nimmt sie für sich auch das Recht in Anspruch, auf unterschiedlichen rechtlichen Grundlagen des Art. 6 Abs. 1 DSGVO auch unabhängig vom Vorliegen einer Einwilligung namentlich zu Sicherheits- und Integritätszwecken berechtigt zu sein, die ihr übermittelten Daten zu speichern und zu verarbeiten.

Der Kläger macht also geltend, dass es überhaupt rechtswidrig sei, die „M Business Tools“ Dritten zur Verfügung zu stellen und so Datenübermittlungen ohne eine gegenüber ihr oder den Dritten gegebene Einwilligung zu ermöglichen. Ob dies rechtlich zutreffend ist, muss anhand der Bestimmungen der DSGVO zur Verantwortlichkeit der Beklagten in Abgrenzung zu Dritten und zu möglichen Rechtfertigungen der Datenverarbeitung nach Art. 6 und 9 DSGVO bewertet werden. Dies bedarf aber nicht der detaillierten Benennung einzelner vom Kläger besuchter Webseiten, auf denen die „M Business Tools“ potentiell aktiv sind. Denn unstreitig ist auf 30 – 40 % aller Webseiten schon allein der „M Pixel“ aktiv, so dass ein durchschnittlicher Internetnutzer, wie der Kläger nicht zuletzt anhand seiner Schilderungen in der persönlichen Anhörung einer ist, mit diesem im Laufe des streitgegenständlichen Zeitraums zwingend unzählige Male in Berührung kommt und dabei von Datenübermittlungen betroffen ist. Die grundsätzliche Betroffenheit des Klägers von den „M Business Tools“ ist damit zweifelsfrei gegeben, was ausreicht, um die Frage der grundsätzlichen Rechtmäßigkeit der Implementierung dieser Funktionen zu beantworten und dabei die Abgrenzung der Verantwortlichkeiten rechtlich zu definieren.

Die Begrenzung der Darlegungspflichten des Klägers schränkt die Verteidigungsrechte der Beklagten nicht wesentlich ein. Sie korrespondiert vielmehr damit, wie nach der Regelungssystematik der DSGVO die Darlegungs- und Beweislast überhaupt zu verteilen ist. Nach Art. 5 Abs. 2 DSGVO ist der Verantwortliche für die Einhaltung der Pflichten nach Art. 5 Abs. 1 DSGVO, worunter nach dessen lit. a auch die Rechtmäßigkeit der Datenverarbeitung gehört, verantwortlich und nachweispflichtig. Die Rechtmäßigkeit des „Ob“ der Verarbeitung personenbezogener Daten legen Art. 6 DSGVO und – für besondere Kategorien solcher Daten – Art. 9 DSGVO fest. Auf welchen der dort niedergelegten einzelnen Rechtfertigungsgründe sich eine Datenverarbeitung stützt, muss der Verantwortliche belegen. Soweit dies eine Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a DSGVO sein soll, stellt Art. 7 Abs. 1 DSGVO nochmals explizit klar, dass den Verantwortlichen ebenfalls die Nachweispflicht zum Vorliegen einer wirksamen Erteilung trifft.

Wegen der – im Einzelnen nachstehend begründeten – Verantwortlichkeit der Beklagten für die Rechtmäßigkeit ihrer Verarbeitung der von Dritten an sie übermittelten personenbezogene Daten muss sie für sämtliche der zum klägerischen I-Profil zugeordneten und gespeicherten personenbezogenen Daten, gleich ob sog. HTTP-Standard- oder Aktivitätsdaten, nachweisen, dass ein Rechtfertigungsgrund vorliegt. Dies ist letztlich Ausfluss der Regelungskonstruktion des Art. 6 DSGVO, der ein datenschutzrechtliches Verbot mit Erlaubnisvorbehalt bzw. ein „Verbotsprinzip“ etabliert (vgl. Kühling/Buchner/Buchner/Petri, DSGVO, Art. 6 Rn. 1; Paal/Pauly/Frenzel, DSGVO, Art. 6 Rn. 1; Plath/Plath, DSGVO/BDSG/TTDSG, Art. 6 Rn. 2; NK-DatenschutzR/Albrecht Einf. Art. 6 Rn. 1; BeckOK DatenschutzR/Albers/Veit, 54. Ed. 1.8.2025, DSGVO Art. 6 Rn. 11). Würde man – wie die Beklagte und mit ihr das Landgericht meint – zunächst dem von der Datenverarbeitung Betroffenen auferlegen, seine gesamte Internet-Nutzung für den streitgegenständlichen Zeitraum offenzulegen, bevor man die Beklagte in der Pflicht sieht, im Einzelnen zu den von ihr verarbeiteten personenbezogenen Daten und möglichen Rechtfertigungsgründen vorzutragen, wäre dieses Prinzip weitgehend ins Gegenteil verkehrt. Dies gilt erst Recht für die Auffassung der Beklagten, der Kläger lasse nachvollziehbaren Sachvortrag darüber vermissen, gegen welchen Verarbeitungszweck er sich im Einzelnen überhaupt wende, was sie sodann zum Anlass nimmt, zur „streitgegenständlichen Datenverarbeitung“ allein jene zu erklären, die ihren Zweck in der Bereitstellung personalisierter Werbung hat. Nach der vorstehenden Regelungskonzeption ist es gerade nicht an dem von einer Datenverarbeitung Betroffenen, mögliche Verarbeitungszwecke der Datenverarbeitung zu benennen, gegen die er sich wehren will, sondern das materielle Recht verlangt einzig vom Verantwortlichen, im Vorfeld der Verarbeitung personenbezogener Daten das Vorliegen eines Rechtfertigungsgrundes positiv festzustellen und das im Streitfall dann auch nachweisen zu können.

Nach alledem ist es prozessual zulässig, dass sich der Kläger für die eigene Betroffenheit auf die stichprobenhafte Ermittlung der Verwendung von „M Business Tools“ auf bekannten Webseiten und eine Verbreitung von 30 – 40 % im gesamten Internet stützt, ohne seinen Internetkonsum näher darzulegen (so auch OLG München, Urteil vom 18. Dezember 2025 – 14 U 1068/25 e –, Rn. 262, juris; OLG Dresden, Urteil vom 3. Februar 2026 – 4 U 292/25 –, Rn. 147, juris).

Die Beklagte ist als Verantwortliche für den Löschungsanspruch passiv legitimiert.

Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nach der Rechtsprechung des EuGH ist hier ein weites Verständnis zugrunde zu legen. So ist es für die Annahme einer Verantwortlichkeit nicht erforderlich, dass die betreffende Person selbst personenbezogene Daten betreffende Verarbeitungsvorgänge durchgeführt hat; es genügt, dass sie an der Entscheidung über die Zwecke und Mittel der über eine Anwendung vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt hat (EuGH Urt. v. 5.12.2023 – C-683/21, BeckRS 2023, 34702 Rn. 38). Ausreichend ist demnach eine aus Eigeninteresse erfolgte Einflussnahme auf die Mittel und Zwecke der Datenverarbeitung (EuGH Urt. v. 7.3.2024 – C-604/22, GRUR-RS 2024, 3638 Rn. 61). Verantwortlicher ist somit, wer über das „Warum“ und „Wie“ der Datenverarbeitung (mit-) entscheidet (BeckOK DatenschutzR/Spoerr, 54. Ed. 1.11.2025, DSGVO Art. 26 Rn. 18).

Unstreitig empfängt die Beklagte personenbezogene Daten des Klägers, die in von ihm genutzten Apps und Webseiten mit den „M Business Tools“ der Beklagten anfallen. Sie speichert diese Daten auf ihren Servern unter Zuordnung zum Nutzerprofil des Klägers und verarbeitet sie in nicht näher spezifiziertem Umfang zu Werbe- und andere Zwecken weiter. Ihre Verantwortlichkeit ist damit zweifelsfrei gegeben, wobei es im Rahmen des Löschungsanspruchs ohnehin allein auf die Verantwortlichkeit für Speicherung und (Weiter-)Verarbeitung ankommt und nicht auf die vorgelagerten Vorgänge.

Die Speicherung und (Weiter-)Verarbeitung nimmt die Beklagte auch nicht lediglich als Auftragsverarbeiter im Sinne von Art. 28 DSGVO für Dritte wahr.

Sie ist es selbst, die durch die Programmierung ihrer Tools allein über den Umfang der Möglichkeiten Dritter bestimmt, welche personenbezogenen Daten überhaupt erfasst werden können. Sie allein ist damit Herrin über das Mittel der Datenverarbeitung. Auch den Zweck der Datenverarbeitung bestimmt im Wesentlichen sie, indem sie ihre „M Business Tools“ maßgeblich damit bewirbt, die Effizienz von Werbemaßnahmen Dritter auf ihren Plattformen steigern zu können, was zugleich dem eigennützigen Zweck dient, die Attraktivität dieser Plattformen als Werbemedium überhaupt zu fördern und damit die eigene Profitabilität.

Soweit die Beklagte dem entgegenhält, sie entscheide nicht selbst, ob ihre „Business Tools“ auf einer Drittwebsite oder -app installiert werden, welche Daten mit deren Hilfe übermittelt werden und ob oder wie Drittunternehmen ihre Verpflichtungen zur Einholung einer Einwilligung erfüllen, lässt dies die Verantwortlichkeit nach dem maßgeblichen weiten Normverständnis des EuGH nicht entfallen. Die Beklagte verschweigt bei ihrer Argumentation letztlich auch den entscheidenden Aspekt, dass sie sämtliche über ihre „M Business Tools“ erfassten personenbezogenen Daten empfängt und mit den bei ihr hinterlegten Nutzerkonten verknüpft. Daran, dass spätestens damit ihre Verantwortlichkeit begründet wird, kann kein vernünftiger Zweifel bestehen.

Soweit die Beklagte hier einen Widerspruch zum Urteil des EuGH vom 29. Juli 2019 – C-40/17 (Fashion ID) sieht, weil es darin heißt, dass die Verpflichtungen zur Benachrichtigung (Betroffener) bei dem Drittunternehmen liegt, das sich entscheidet, eine Technologie wie die streitgegenständlichen Business Tools auf seiner eigenen Website zu installieren, greift sie ebenfalls zu kurz. Der EuGH hat in der Entscheidung (noch zum alten Datenschutzrecht und zum sog. „Gefällt mir“ -Button aus F) ausdrücklich eine gemeinschaftliche Verantwortlichkeit des Webseitenbetreibers und der Beklagten festgestellt (EuGH, Urteil vom 29.7.2019 – C-40/17, Rn. 85).

Die von der Beklagten mittels ihrer Nutzungsbedingungen und Vertragszusätze vorgenommene vertragliche Überantwortung der Einhaltung datenschutzrechtlicher Bestimmungen auf die „M Business Tools“ nutzende Dritte lässt die eigene Verantwortlichkeit nicht entfallen. Derartiges regelt die Beklagte zwar etwa in Ziff. 5 lit a. i. ihrer Nutzungsbedingungen, wonach sie gegenüber Dritten hinsichtlich bestimmter Zwecke nur als Auftragsverarbeiterin gesehen werden will (Anlage B 5, Bl. 61 Anlagenheft Beklagte 1. Inst.). Eine solche Vertragsgestaltung im Innenverhältnis zwischen der Beklagten und Dritten ist aber nicht geeignet, über das insoweit zwingende Gesetzesrecht der Art 4 Nr. 7 und Art. 28 DSGVO mit Wirkung für die Rechte Betroffener zu disponieren. Maßgeblich sind insoweit nicht die vertraglichen Bezeichnungen der Rollen, sondern die anhand der Regelungen der DSGVO zu bewertenden tatsächlichen Verhältnisse (Kühling/Buchner/Hartung, 4. Aufl. 2024, DSGVO Art. 28 Rn. 27; Gerlach, CR 2020, 165, 167). Diese ergeben eine umfassende und alleinige Entscheidungsbefugnis der Beklagten darüber, ob und wenn ja welche personenbezogenen Daten mittels ihrer Tools erfasst und an sie übermittelt werden können und sodann von ihr gespeichert und weiterverarbeitet werden. Entsprechend behält sich die Beklagte gegenüber Dritten auch das Recht vor jederzeit deren Zugriff auf die „M Business Tools“ zu ändern, auszusetzen oder zu beenden (Ziff. 4 lit. a der Nutzungsbedingungen, Anlage B 5, Bl. 60 Anlagenheft Beklagte 1. Inst.). Insbesondere eine solche Befugnis schließt es aus, sie lediglich als Auftragsverarbeiterin einzuordnen.

Allenfalls kommt eine gemeinsame Verantwortlichkeit der Beklagten mit Dritten im Sinne von Art. 26 Abs. 1 DSGVO in Betracht, ohne dass dies Auswirkungen auf den Löschungsanspruch hat. Denn wie Art. 26 Abs. 3 DSGVO ausdrücklich regelt, werden durch eine gemeinsame Verantwortlichkeit nicht die Möglichkeiten Betroffener eingeschränkt, ihre Recht gegenüber jedem der so gemeinsam Verantwortlichen geltend zu machen.

Im Übrigen erkennt die Beklagte in ihren Nutzungsbedingungen – anders als in ihrem prozessualen Vortrag – ihre eigene Verantwortlichkeit für in den Anwendungsbereich der DSGVO fallenden personenbezogenen Daten ab dem Zeitpunkt nach Übermittlung ausdrücklich an (Nr. 5 lit. a. ii. der Nutzungsbedingungen, Anlage B 5, Bl. 60 Anlagenheft Beklagte 1. Inst.).

Die Verarbeitung der vom Antrag zu 2. umfassten personenbezogenen Daten durch die Beklagte ist rechtswidrig.

Nach der Rechtsprechung des EuGH ergibt sich die Rechtmäßigkeit einer Datenverarbeitung aus Art. 6 DSGVO, der erschöpfend und abschließend die Fälle regelt, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann (EuGH, Urteil vom 4.5.2023 – C-60/22, ZD 2023, 606 Rn. 56 f.).

(aa)

Die Darlegungs- und Beweislast für diese Rechtfertigung obliegt nach den vorstehenden Ausführungen allein der Beklagten. Dies gilt umfassend und entgegen der Auffassung der Beklagten nicht in Abhängigkeit vom klägerischen Vorbringen zu spezifischen Verarbeitungszwecken, gegen die dieser sich wenden will.

Erstinstanzlich hat sich die Beklagte darauf gestützt, die „streitgegenständliche Datenverarbeitung“ auf der Grundlage einer Einwilligung vorzunehmen, wobei „streitgegenständlich“ nach ihrem – durch den vom Kläger vorgegebenen Prozessstoff nicht gedeckten – Verständnis nur die Datenverarbeitung zum Zweck der Bereitstellung personalisierter Werbung sein sollte, für die aber der Kläger unstreitig keine Einwilligung erteilt hatte. Für andere Rechtfertigungsgründe als jenen der Einwilligung sieht sich die Beklagte primär als nicht darlegungbelastet an, weil sie meint, der Kläger müsse zuvor spezifizieren, gegen welche anderen Verarbeitungszwecke er sich überhaupt wende.

Ein solches Verständnis verkennt die sich aus der datenschutzrechtlichen Verpflichtung der Beklagten, Daten nur nach Maßgabe eindeutiger und im Vorfeld festgelegter Zwecke zu verarbeiten (vgl. Art. 5 Abs. 1 lit. b DSGVO), ergebende prozessuale Folge der bei ihr liegenden Darlegungs- und Beweislast. Der Kläger hat unmissverständlich zum Ausdruck gebracht, dass er die gesamte Datenverarbeitung der Beklagten in Frage stellt, welche darauf beruht, dass Dritte ihr über die „M Business Tools“ die im Antrag zu 1. im Einzelnen aufgelisteten personenbezogenen Daten über den Kläger übermitteln, die die Beklagte sodann speichert und seinem Profil bei „I“ zuordnet. Es trifft zwar zu, dass eine nähere Prüfung des Vorliegens eines Rechtfertigungsgrundes nach Art. 6 Abs. 1 DSGVO regelmäßig die Auseinandersetzung mit dem jeweiligen Verarbeitungszweck erfordert, weil die Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO einen zentralen datenschutzrechtlichen Grundsatz darstellt, an dem sich jede Datenverarbeitung messen lassen muss (vgl. BeckOK DatenschutzR/Schantz, 54. Ed. 1.11.2021, DSGVO Art. 5 Rn. 13). Daraus folgt aber nicht, dass der Betroffene der Datenverarbeitung eine Prüfung der Rechtmäßigkeit nur verlangen kann, wenn er selbst näher darlegt, welche Verarbeitungszwecke er im Einzelnen für unzulässig hält bzw. zu welchen Zwecken seiner Auffassung nach eine Datenverarbeitung im Einzelnen nicht erfolgen darf. Eine solche Verlagerung der Darlegungslast auf den Betroffenen wäre mit Art. 5 Abs. 2 DSGVO nicht vereinbar, welcher den Grundsatz aufstellt, dass der Verantwortliche die Einhaltung der datenschutzrechtlichen Grundsätze nach Art. 5 Abs. 1 DSGVO, zu dem auch die Zweckbindung gehört, nachweisen können muss. Es obliegt allein ihm, die Zwecke, zu denen er Daten verarbeitet, im Einzelnen näher zu spezifizieren, wobei dies grundsätzlich vor der Verarbeitung der Daten erfolgen muss (BeckOK DatenschutzR/Schantz, 54. Ed. 1.11.2021, DSGVO Art. 5 Rn. 14).

(bb)

Soweit die Beklagte – nach ihrer Rechtsauffassung nur vorsorglich – zur Rechtfertigung jenseits der hier unstreitig nicht in Betracht kommenden Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO vorträgt, lässt sich daraus die Rechtmäßigkeit ihrer Datenverarbeitung nicht ableiten. Dies gilt auch unter Einbeziehung der erstmals im Berufungsverfahren mit Schriftsätzen vom 05.01. und 30.01.2026 aufgestellten Behauptungen, wonach die nicht von einer Einwilligung gedeckte Datenverarbeitung aus überschlägig beschriebenen Gründen der Sicherheit und Integrität der M-Plattformen erforderlich seien (zu diesem neuen Vorbringen gesondert nachfolgend (cc)).

Schon nicht im Ansatz ihrer Darlegungslast genügend hat die Beklagte zunächst allein auf ihre Datenschutzrichtlinie Bezug genommen und aus dieser zitiert, ohne dass sich ein spezifischer Bezug zu der Verarbeitung der durch „M Business Tools“ übermittelten und gespeicherten Daten ergibt. Enthalten sind allein beispielhafte Erläuterungen, dass und warum sich die Beklagte bei ihrer (generellen) Datenverarbeitung auf deren Notwendigkeit zur Erfüllung eines Vertrages, auf ihr berechtigtes Interesse, auf wesentliche Interessen des Nutzers, rechtliche Verpflichtungen und öffentliche Interessen stützt (Anlage K1, Bl. 84 ff., Anlagenband Kläger, 1. Inst.).

Selbst wenn man darüber hinwegsieht, dass der Verweis auf eine allgemeine Datenschutzrichtlinie und deren bloße Wiedergabe nicht geeignet ist, konkreten Sachvortrag zum streitgegenständlichen Sachverhalt zu ersetzen und anhand dieser Richtlinie das Vorliegen der Voraussetzungen des Art. 6 Abs. 1 DSGVO prüft, kommt eine Rechtfertigung nicht in Betracht (so auch OLG München, Urteil vom 18. Dezember 2025 – 14 U 1068/25 e –, Rn. 276 ff., juris):

Nach Art. 6 Abs. 1 lit. b DSGVO ist eine Datenverarbeitung rechtmäßig, die für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Die Beklagte gibt hier aus der Datenschutzrichtlinie lediglich die Leerformel wieder, dass die Verarbeitung der Informationen erfolge, die zur Erfüllung des Vertrages über die Bereitstellung ihrer Dienste für den Nutzer erforderlich sei und bei einem Klick auf „Mehr erfahren“ detailliertere Informationen hierzu gegeben würden. Dies vermag die Datenverarbeitung über die „M Business Tools“ nicht zu rechtfertigen, da schon im Ansatz jede Erläuterung fehlt, warum es zur Bereitstellung der Funktionen von „I“ erforderlich sein könnte, Daten über die außerhalb dieses Netzwerks stattfindende Internet-Nutzung des Klägers in dem dargestellten Umfang zu erfassen und zu inventarisieren. Der EuGH hat sich in dem vorstehenden Vorlageverfahren M vs. Bundeskartellamt, welches auch und gerade die „M Business Tools“ betrifft, auch zur Auslegung des Art. 6 Abs. 1 lit. b DSGVO geäußert und dabei strenge Maßstäbe an die Berufung auf die Vertragserfüllung angelegt. Eine Verarbeitung personenbezogener Daten kann nur dann als für die Erfüllung eines Vertrags erforderlich angesehen werden, wenn sie objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte (EuGH, Urt. v. 4.7.2023 – C-252/21, Rn. 98, 99, GRUR 2023, 1131). Hierzu hat die Beklagte nicht ansatzweise ausgeführt, was zur Folge hat, dass sie ihre Verarbeitung der mittels „M Business Tools“ gewonnenen personenbezogenen Daten des Klägers nicht über diesen Tatbestand zu rechtfertigen vermag.

Nichts anderes gilt für Art. 6 Abs. 1 lit. c DSGVO, der eine Verarbeitung erlaubt, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Gemeint ist hier eine Verpflichtung kraft Rechts der Union oder eines Mitgliedstaates, wie Art. 6 Abs. 3 UAbs. 1 DSGVO ausdrücklich klarstellt. Diese aus einer Vorschrift des objektiven Rechts abzuleitende rechtliche Verpflichtung muss sich unmittelbar auf die Datenverarbeitung beziehen (BeckOK DatenschutzR/Albers/Veit, 54. Ed. 1.8.2025, DSGVO Art. 6 Rn. 48). Hierauf kann sich die Beklagte nicht berufen, mag sie den Rechtfertigungsgrund in ihren Datenschutzbestimmungen auch heranziehen. Denn es besteht selbstredend keine Verpflichtung, personenbezogene Daten der Nutzer ihrer sozialen Netzwerke, die bei der Nutzung des Internets außerhalb dieser sozialen Netzwerke anfallen, anlassunabhängig zu sammeln und zu speichern. Eine dahingehende Norm nennt die Beklagte denn auch nicht. Dass die Beklagte im Einzelfall, etwa im Rahmen strafrechtlicher Ermittlungen, verpflichtet sein kann, Informationen, die ihr bereits vorliegen und zu denen auch solche gehören können, die sie über die „M Business Tools“ erlangt hat, herauszugeben, begründet keine Rechtfertigung, solche Daten schon im Vorfeld anlasslos zu erfassen.

Keiner näheren Erörterung bedarf der Rechtfertigungsgrund nach Art. 6 Abs. 1 lit. d DSGVO, der eine Datenverarbeitung erlaubt, welche erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Er wird zwar von der Datenschutzrichtlinie der Beklagten erwähnt, aber es ist unabhängig von dem fehlenden konkretisierenden Sachvortrag der Beklagten mehr als fernliegend, dass das anlasslose Sich-Übermitteln-Lassen personenbezogener Daten für den Schutz hochrangiger Rechtsgüter erforderlich sein könnte. Ebenfalls fernliegend ist eine Rechtfertigung nach Art. 6 Abs. 1 lit. e DSGVO, der die Wahrnehmung von Aufgaben im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt betrifft.

Weiter meint die Beklagte unter Verweis auf ihre Datenschutzrichtlinie, ihre nicht durch Einwilligungen gedeckte Verarbeitung der durch die „M Business Tools“ erfassten personenbezogenen Daten auf Art. 6 Abs. 1 lit. f DSGVO stützen zu können, der die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen erlaubt. Die Datenschutzrichtlinie nennt hierzu „die Bereitstellung eines innovativen, personalisierten, sicheren und profitablen Dienstes und die Reaktion auf rechtliche Anfragen“. Die Beklagte erläutert diesbezüglich beispielhaft zum Thema Sicherheit, dass sie die von Dritten erhaltenen Daten nutze, um Risiken von Spam-, Scraping- oder anderen Cyberangriffen zu minimieren. Dieser Sachvortrag legt schon nicht nachvollziehbar dar, inwiefern die „M Business Tools“ tatsächlich ein Instrument zur Erhöhung der Cybersicherheit auf Seiten der Server- und sonstigen Infrastruktur der Beklagten sind. Ihr Zweck ist – wie die Beklagte selbst in ihrer Beschreibung der Tools (Anlage B 3, Bl. 21 Anlagenheft Beklagte 1. Inst.) zum Ausdruck bringt – die zur Steigerung von Reichweite und Werbeerfolg erfolgende Verbindung zwischen ihren Systemen und Webseiten und Apps Dritter. Um überhaupt denkbar unter diesen Rechtfertigungsgrund fallen zu können, müsste die Gewährleistung von Cybersicherheit schon zum Zeitpunkt der Datenübermittlung Dritter an die Beklagte der maßgebliche Zweck dieser Datenverarbeitung sein. Nicht ausreichend wäre hingegen, wenn sich die Beklagte diese Daten zu zunächst anderen Zwecken übermitteln lässt und sie dann zu einem späteren Zeitpunkt auch nützlich sein könnten, um Cyberangriffe zu identifizieren und abzuwehren. Denn eine Datenbevorratung ohne Vorabfestlegung des Zwecks ist nach Art. 5 Abs. 1 lit. b DSGVO mit dem Grundsatz der Zweckbindung unvereinbar. Gleiches gilt für den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO (so auch OLG München, Urteil vom 18. Dezember 2025 – 14 U 1068/25 e –, Rn. 275, juris).

Soweit die Beklagte daneben in ihrer Datenschutzerklärung auf Innovation, Personalisierung und Profitabilität ihres Dienstes abstellt, vermag dies ebenfalls kein die Datenschutzinteressen des Klägers überwiegendes berechtigtes Interesse der Beklagten zu begründen. Der EuGH hat in der vorstehenden Entscheidung M vs. Bundeskartellamt ausgeführt, dass die Interessen und Grundrechte der Nutzer gegenüber dem Interesse des Betreibers an einer profitabilitätssteigernden Personalisierung von Werbung überwiegen und damit Art. 6 Abs. 1 lit. f DSGVO nicht herangezogen werden kann (EuGH, aaO, GRUR 2023, 1131 Rn. 117). Produktverbesserung kann nach vorstehender Entscheidung zwar denkbar ein berechtigtes Interesse sein. Es ist allerdings zweifelhaft, ob das Ziel der Produktverbesserung Vorrang vor den Interessen und Grundrechten des Nutzers haben kann (EuGH, aaO, GRUR 2023, 1131 Rn. 123). Hier lässt die Beklagte schon im Ansatz jeden Vortrag dazu vermissen, dass und wieso sie darauf angewiesen sein könnte, in dem streitgegenständlichen Umfang die Internet-Nutzung der Nutzer ihrer Netzwerke zu erfassen, um das eigene Angebot zu verbessern. Mangelt es demnach schon an der Erforderlichkeit, bedarf es keiner Abwägung zwischen ihren und den Interessen ihrer Nutzer (vgl. zur Erforderlichkeit als eigenständiges, vor der Abwägung zu prüfendes, Element BeckOK DatenschutzR/Albers/Veit, 54. Ed. 1.8.2025, DSGVO Art. 6 Rn. 69 mwN).

Schließlich kann ein überwiegendes Interesse der Beklagten auch nicht auf die ebenfalls in der Datenschutzrichtlinie erwähnte „Reaktion auf rechtliche Anfragen“. Hierzu hat der EuGH ausgeführt, dass ein Ziel Strafverfolgungs- und Strafvollstreckungsbehörden zu informieren, um Straftaten zu verhindern, aufzudecken und zu verfolgen, kein berechtigtes Interesse darstellen kann, da sich ein privater Wirtschaftsteilnehmer wie M nicht auf ein berechtigtes Interesse berufen kann, das mit seiner wirtschaftlichen und kommerziellen Tätigkeit nichts zu tun hat (EuGH aaO, GRUR 2023, 1131 Rn. 124, beck-online).

(cc)

Eine Rechtfertigung der Datenverarbeitung scheidet im Ergebnis ebenfalls aus, soweit die Beklagte in ihren Schriftsätzen vom 05.01. und 30.01.2026 erstmalig näher dazu ausführt, dass und warum die aus „M Business Tools“ übermittelten und gespeicherten personenbezogenen Daten für Zwecke der Sicherheit und Integrität der M-Plattformen genutzt würden, woraus sich eine Rechtfertigung nach Art. 6 Abs. 1 lit. b und f DSGVO, d.h. aus Gründen der Vertragserfüllung und wegen Bestehens eines überwiegenden Interesses ergeben soll.

Festzuhalten ist zunächst, dass die Beklagte mit diesem Vortrag eindeutig einräumt, dass sie die Speicherung und Weiterverarbeitung der ihr über ihre „M Business Tools“ übermittelten Daten durchgehend vornimmt und dabei keine Rolle spielt, ob Nutzer die Einstellung „M-Cookies auf anderen Apps und Websites“ deaktivieren und damit selbst gegenüber der Beklagten gerade kein Einverständnis zum Ausdruck bringen, Informationen über ihre außerhalb der Plattformen der Beklagten stattfindende Internetnutzung preiszugeben. Die Beklagte nimmt damit unterschiedlos sämtliche übermittelten personenbezogenen Daten entgegen und speichert diese. Ein Abgleich mit den Einstellungen des Betroffenen auf der Plattform oder auf der Webseite des Dritten wird nicht vorgenommen, spielt für die Speicherung also keine Rolle. Relevant wird die Einstellung des Nutzers im I-Profil erst, soweit es um die Bereitstellung personalisierter Werbung geht. Nutzer, die „M-Cookies“ erlauben, bekommen personalisierte Werbung angezeigt. Jene, die sie ablehnen, bekommen zwar keine personalisierte Werbung, die Beklagte verfügt aber über denselben Umfang an personenbezogenen Daten, mithin über dieselben Informationen, die etwa zur Erstellung eines genauen Persönlichkeitsprofils genutzt werden könnten.

Dass letzteres stattfindet, verneint die Beklagte zwar und behauptet, die unterschiedlos gesammelten Daten nur zu Sicherheits- und Integritätszwecken zu verwenden, wobei es um die Kategorien einer Störung der M-Netzwerke von außen, eines Missbrauchs einzelner Nutzerkonten und die Fehlerbehebung geht.

Eine dahingehende Rechtfertigung dieser anlass- und unterschiedlosen Datenverarbeitung sämtlicher Nutzerprofile kommt im Ergebnis aber nicht in Betracht. Auch die näher erläuterten Sicherheitsaspekte sind zum Zeitpunkt der Datenübermittlung Dritter an die Beklagte nicht der maßgebliche Zweck der Datenverarbeitung. Vielmehr geht es um Effizienzsteigerungen bei Werbemaßnahmen und die dadurch geförderte Profitabilität der Beklagten sowie ihrer Werbekunden. Dies zeigt sich ausdrücklich etwa in den Nutzungsbedingungen für die „M Business Tools“, in denen es einleitend zum Hintergrund heißt, dass es sich bei M-Pixel, Conversions API und anderen Tools um Werbeprodukte handelt (S. 1 der Nutzungsbedingungen, Anlage B 5, Bl. 57 d.A.). Folgt man der Argumentation der Beklagten, liegt eine Datenbevorratung ohne Vorabfestlegung des Zwecks vor, die nach dem Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit. b DSGVO jedoch unzulässig ist.

Aber auch unabhängig davon fehlt die Erforderlichkeit im Sinne von Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO. Nach der Rechtsprechung des EuGH ist sowohl im Rahmen des Erlaubnistatbestandes der Vertragserfüllung wie auch der berechtigten Interessen eine enge Auslegung des Begriffs der Erforderlichkeit vorzunehmen. Bei der Vertragserfüllung muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist (EuGH aaO, GRUR 2023, 1131 Rn. 126). Ähnliches gilt im Rahmen des Art. 6 Abs. 1 lit. f. DSGVO, bei dem eine Datenverarbeitung dann erforderlich ist, wenn sie innerhalb der Grenzen dessen erfolgt, was unbedingt notwendig ist, um die berechtigten Interessen zu verwirklichen (EuGH aaO, GRUR 2023, 1131 Rn. 126).

Nach diesen Maßstäben lässt sich dem Vorbringen nicht entnehmen, warum ohne die streitgegenständliche Datenverarbeitung die beschriebenen Schad- und Angriffsszenarien nicht abgewehrt werden können bzw. die Beklagte nicht in der Lage wäre, ihren Nutzern die jeweilige Plattform im geschuldeten Umfang darzubieten. Wenn etwa herausgehoben wird, dass atypische Verhaltensmuster bei Empfangsraten und anomale Geräte-/Netzwerkaktivitäten erkannt werden müssten, um Störungen der Dienste zu vermeiden, bleibt die Beklagte eine nähere Beschreibung schuldig, warum sie hierfür Kenntnisse über das genaue Internet-Nutzungsverhalten ihrer Kunden in dem beschriebenen Umfang benötigt. Dies gilt auch für die anderen beschriebenen Sicherheits- und Bedrohungsszenarien. Die Beklagte vermag noch darzulegen, warum es für sie nützlich ist, ihre Nutzer und ihr Verhalten möglichst genau zu kennen. Dies ist aber nicht zu verwechseln mit einer objektiven Notwendigkeit. Insoweit kann die Beklagte ihr Vorgehen gerade nicht deshalb als alternativlos darstellen, weil Personen mit missbräuchlichen Absichten ohne Prüfung anhand der „M Business Tools“-Daten leichter gefälschte Konten erstellen könnten. Mit diesem Argument könnte letztlich jeder Digital-Dienstleister eine Protokollierung der Internetnutzung seiner Kunden rechtfertigen, weil dies die verlässlichste Methode darstellt, um festzustellen, ob man es mit echten Personen ohne missbräuchliche Absichten zu tun hat.

Ebenso unbehelflich ist es, wenn die Beklagte meint, gar nicht präziser vortragen zu können, weil gefährliche Akteure ausgefeilte und sich ständig ändernde Techniken einsetzen würden, um ihre Ziele zu verfolgen, und kontinuierlich versuchen würden, die Methoden der Beklagten zur Aufdeckung ihrer Aktivitäten nachzuvollziehen, um einer Entdeckung zu entgehen. Denn es ist missbräuchlichen und kriminellen Verhaltensweisen im Internet immanent, dass sie sich in Abhängigkeit von Sicherheitsroutinen der angegriffenen Unternehmen stetig weiterentwickeln und neue Schwachstellen suchen. Würde man diese Argumentation genügen lassen, könnte eine Datenverarbeitung stets mit Sicherheitsinteressen begründet werden, ohne dass der Verantwortliche die Notwendigkeit im Einzelnen nachvollziehbar belegen müsste. Eine mit dem Effektivitätsgrundsatz und der Rechtsprechung des EuGH zu Art. 6 Abs. 1 DSGVO nicht zu vereinbarende Aushöhlung des Erforderlichkeitskriteriums wäre die Folge.

Das neue Vorbringen kann der Beklagten schließlich auch deshalb nicht zum Erfolg verhelfen, weil sie sich nicht in der Lage sieht, die Dauer der Speicherung der „M Business Tools“ – Daten im Einzelnen darzulegen und die Notwendigkeit diesbezüglich zu begründen. Soweit hierzu überhaupt Vortrag erfolgt, bezieht er sich auf Fälle, in denen es zu sicherheitsbezogenen Untersuchungen eines Benutzerkontos kommt. Aufbewahrungsfristen für die „M Business Tools“-Daten in Gänze bleiben damit unklar – jenseits der Frage, warum etwa die Information, dass ein Nutzer vor mehreren Jahren eine Webseite zu problematischem Alkoholkonsum besucht hat, für Sicherheitszwecke überhaupt von Bedeutung sein könnte.

Letztlich ist der gesamte – ohnehin in seinem tatsächlichen Kern nicht unter Beweis gestellte – jüngste Vortrag weder in technischer Hinsicht noch in Anbetracht der Historie und des eigentlichen Zwecks der „M Business Tools“ – eine präzise Erfassung der Internetnutzung individueller Personen zu Werbezwecken – nachvollziehbar. Wäre es tatsächlich so, wie die Beklagte behauptet, könnte sie also ihren Kunden „eine sichere Plattform“ nur unter der Bedingung der Aufzeichnung ihres sonstigen Internetkonsums bieten, müsste sie dies ihren Kunden bei Erstellung eines Nutzerprofils oder – soweit dieses schon länger besteht als die „M Business Tools“ – mit Einführung der „M Business Tools“ unter Einhaltung der Art. 12, 13 DSGVO in präziser, transparenter und verständlicher Form und Sprache kommunizieren. Dies war und ist aber nicht ansatzweise der Fall, vielmehr wird gegenüber den Nutzern stets der Eindruck erweckt, diese hätten durch die bereitgestellten Einstellungsmenüs sowie neuerdings auch durch Abschluss eines kostenpflichtigen Abomodells die volle Kontrolle darüber, in welchem Umfang ihre personenbezogenen Daten durch die Beklagte verarbeitet werden. Entsprechend ist zu konstatieren, dass es sich auch bei der Argumentation zum Sicherheitszweck wie bei jenem zur „streitgegenständlichen“ Datenverarbeitung um den – letztlich durchsichtigen – Versuch handelt, von der Rechtswidrigkeit eines den Grundprinzipien des europäischen Datenschutzrechts, namentlich der Transparenz, der Zweckbindung, der Datenminimierung und der Rechenschaftspflicht grundlegend widersprechenden Systems einer anlasslosen Datensammlung abzulenken.

bb)

Ein Ausschlussgrund nach Art. 17 Abs. 3 DSGVO, welcher einem Anspruch nach Abs. 1 ausnahmsweise entgegenstehen könnte, besteht vorliegend nicht. Es wäre an der Beklagten, diesbezüglich vorzutragen, wobei ersichtlich keiner der Ausschlusstatbestände ernsthaft in Betracht kommt.

b)

Dem Löschungsanspruch stehen die im I-Account von der Beklagten bereitgestellten Löschungsmöglichkeiten nicht entgegen. Insbesondere muss sich der Kläger nicht auf diese verweisen lassen.

Zum einen ist Art. 17 Abs. 1 DSGVO als Recht des Betroffenen und damit korrespondierende Pflicht des Verantwortlichen konzipiert, dass letzterer die personenbezogenen Daten löscht. Eine Delegation der Verpflichtung auf den Betroffenen selbst ist damit nicht vereinbar.

Unabhängig davon ist das sog. „Self-Service“-Tool“ aber auch nicht zur Erfüllung des Löschungsanspruchs im bestehenden Umfang geeignet.

Die Beklagte trägt vor, in den Einstellungen bei „Deine Aktivitäten außerhalb der M Technologien“ könne man die mit dem Nutzerkonto verknüpften von Drittwebseiten oder Apps stammenden Informationen „trennen“ und so die Speicherung der über die „M Business Tools“ von Dritten übermittelten Daten unter Verknüpfung mit dem Nutzerkonto für die Zukunft unterbinden und für die Vergangenheit entfernen.

Der Kläger hat auf diesen Einwand repliziert, dass damit nur die Möglichkeit verschaffen werde, seine personenbezogenen Daten zu pseudonymisieren, was er mit Auszügen aus einer technischen Information näher erläutert. In dieser wird beschrieben, dass bei einer Trennung durch die Generierung eines neuen zufälligen „Identifier“ namens MID verhindert werde, dass die Aktivitätsdaten durch die Systeme dem Nutzer zugeordnet werden können. Dabei behalte sich die Beklagte bei bestimmten Aktivitäten indes vor, „eine limitierte Menge an markierten Daten für längere Zeit zu erhalten“ (Anlage K 19, Bl. 392 d. Anlagenheft Kläger, deutsche Übersetzung Bl. 238 f. d. A. 1. Inst.). Die darlegungs- und beweisbelastete Beklagte ist hierauf nicht näher eingegangen und hat insbesondere nicht dazu ausgeführt, inwiefern es tatsächlich für die Vergangenheit zu einer echten Entfernung sämtlicher im Antrag zu 2. erfassten personenbezogenen Daten anstelle der bloßen – ggf. wieder rückgängig zu machenden – Ersetzung des zum Kläger zugehörigen „Identifier“ durch einen zufälligen „Identifier“ kommt, wenn man die entsprechende Einstellung wählt. Daher ist mit dem Kläger anzunehmen, dass das „Self-Service-Tool“ nur zu einer Pseudonymisierung im Sinne von Art. 4 Nr. 5 DSGVO führt, die personenbezogenen Daten mithin erhalten bleiben, dem Kläger ohne Hinzuziehung zusätzlicher, der Beklagten indes vorliegenden Informationen nur nicht mehr zugeordnet werden können. Eine Löschung im Sinne des Art. 17 Abs. 1 DSGVO ist dies nicht. Eine solche liegt nur vor, wenn es faktisch jedem einschließlich dem Verantwortlichen selbst nicht ohne unverhältnismäßigen Aufwand möglich ist, die zuvor in den zu löschenden Daten verkörperte Information wahrzunehmen (Kühling/Buchner/Herbst, 4. Aufl. 2024, DSGVO Art. 17 Rn. 37 mwN).

Ebensowenig wie auf das „Self-Service-Tool“ muss sich der Kläger auf die vollständige Löschung seines Profils bei „I“ verweisen lassen. Zwischen den Parteien besteht diesbezüglich ein Nutzungsvertrag, aus dem heraus der Kläger in Verbindung mit den Bestimmungen der DSGVO einen Anspruch auf Einhaltung datenschutzrechtlicher Vorgaben gegen die Beklagte hat. Die Beklagte hat diese nach den vorstehenden Ausführungen verletzt. Ihr obliegt es, sie durch Erfüllung des klägerischen Löschungsanspruchs nach Art. 17 Abs. 1 DSGVO rückgängig zu machen. Eine dem Kläger aufgezwungene Beendigung des Vertrages in Gänze wird dem nicht gerecht. Weder kann die Beklagte aus ihren Rechtsverletzungen ein eigenes Kündigungsrecht ableiten noch kann daraus eine Kündigungspflicht auf Seiten des Klägers für den Fall konstruiert werden, dass dieser die Verletzung seiner Rechte aus der DSGVO nicht länger hinnehmen will.

c)

Soweit der Antrag auf eine Löschung erst sechs Monate nach rechtskräftigem Abschluss des Verfahrens gerichtet ist, handelt es sich um eine vom Kläger als dem berechtigten Betroffenen nach Art. 17 Abs. 1 DSGVO in zulässiger Weise vorgenommene Konkretisierung des Zeitpunkts, ab dem eine unverzügliche Löschung im Sinne der Norm stattzufinden hat.

d)

Keinen Anspruch auf Löschung nach Art. 17 Abs. 1 DSGVO hat der Kläger hingegen, soweit sich aus der vollständigen Inbezugnahme des Antrags zu 1. im Antrag zu 2. ein Begehren ergibt, dass auch personenbezogene Daten erfasst, welche aus anderen Datenverarbeitungsvorgängen resultieren, etwa aus der Nutzung der I-Plattform selbst. Denn insoweit fehlt es an Vortrag des zumindest im Ausgangspunkt darlegungsbelasteten Klägers zu einem Löschungsgrund nach Art. 17 Abs. 1 DSGVO. Dieser hat allein zur Datenverarbeitung mittels „M Business Tools“ in der Sache vorgetragen und Gründe für die Löschpflicht aufgezeigt. Nur für die aus diesen Datenverarbeitungsvorgängen stammenden personenbezogenen Daten ist damit eine Verpflichtung der Beklagten zur Löschung verbunden.

3. Klageantrag zu 3. – Schadensersatz

Der Kläger hat im Zusammenhang mit der streitgegenständlichen Datenverarbeitung einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von 3.000,00 € gegen die Beklagte.

Dem Anspruch liegen als maßgebliches Geschehen sämtliche mit dieser fortwährenden Datenverarbeitung mittels „M Business Tools“ im Zusammenhang stehenden Verstöße gegen die Datenschutz-Grundverordnung zugrunde. Insofern handelt es sich um einen einheitlichen Anspruch, der – vergleichbar mit den sog. Scraping-Vorfällen – in einem einheitlichen Geschehen wurzelt, das hinsichtlich der damit verbundenen Folgen nicht in einzelne Datenschutzverstöße aufgespalten werden kann (BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, BGHZ 242, 180-216, Rn. 18).

a)

Der haftungsbegründende Tatbestand des Art. 82 Abs. 1 DSGVO ist erfüllt.

Die Beklagte verarbeitet nach den vorstehenden Ausführungen die ihr mittels „M Business Tools“ übermittelten personenbezogenen Daten des Klägers mangels Vorliegens einer oder mehrerer Bedingungen des Art. 6 Abs. 1 DSGVO fortwährend rechtswidrig. Jenseits der damit bei jeder einzelnen Datenübermittlung durch Dritte an die Beklagte vorliegenden Rechtswidrigkeit sind weitere – generelle – DSGVO-Verstöße der Beklagten in der grundlegenden Konzeption der „M Business Tools“ festzustellen. Dies betrifft die – in Art. 5 Abs. 1 DSGVO als justiziable Pflichten des Verantwortlichen ausgestalteten – Datenschutzgrundsätze der Transparenz, der Zweckbindung und der Datenminimierung. Für den Kläger ist es als durchschnittlichen Internetnutzer nicht zuletzt bei den Technologien „Conversion API“ und „App Events API“ nicht nachzuvollziehen, ob und wenn ja welche personenbezogenen Daten auch ohne eine Einwilligung beim Besuch einzelner Webseiten und der Nutzung von Apps an die Beklagte übermittelt werden, die diese dann seinem Nutzerkonto zuordnet und für einen ebenfalls nicht nachvollziehbaren, ggf. dauerhaften, Zeitraum speichert. Wie bereits ausgeführt verstößt die Datenverarbeitung mittels „M Business Tools“ weiter gegen den Zweckbindungsgrundsatz, weil die Beklagte diese Software an sich zu Werbezwecken eingeführt und verbreitet hat, die mit ihrer Hilfe erhaltenen Daten aber nicht ausschließlich zu diesem Zweck, sondern letztlich auf Vorrat etwa auch für die Nutzung zur Wahrung der Sicherheit ihrer Systeme speichert. Darin liegt zugleich ein Verstoß gegen den Grundsatz der Datenminimierung (vgl. OLG München, Urteil vom 18. Dezember 2025 – 14 U 1068/25 e –, Rn. 265, juris).

Dem Kläger ist auch ein Schaden entstanden. Art. 82 Abs. 1 DSGVO verlangt das Vorliegen von über den bloßen Datenschutzverstoß als solchem hinausgehenden negativen Folgen für den Betroffenen, welche materieller oder immaterieller Natur sein können und kausal auf den Datenschutzverstoß zurückzuführen sein müssen (EuGH Urt. v. 14.12.2023 – C-340/21, GRUR-RS 2023, 35786 Rn. 77, beck-online). Die Anforderungen für immaterielle Schäden sind niedrig. Sie müssen nicht einen gewissen Schweregrad erreichen (EuGH, Urteil vom 20. Juni 2024 – C-590/22 –, Rn. 26, juris). Ein bloßer und kurzzeitiger Verlust der Kontrolle über die personenbezogenen Daten als Verlust der sog. Datenhoheit oder eine begründete Befürchtung einer missbräuchlichen Verwendung reicht aus (BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, BGHZ 242, 180-216, Rn. 30). Der Schaden kann damit in negativen Gefühlen wie Befürchtungen oder Ängsten bestehen (BeckOK DatenschutzR/Quaas, 54. Ed. 1.11.2025, DSGVO Art. 82 Rn. 23a, beck-online).

Vorliegend besteht ein weitreichender Kontrollverlust des Klägers darüber, welche Informationen die Beklagte über sein Internet- und App-Nutzungsverhalten bislang erhalten hat und bis zu welchem Grad sie genaue Kenntnisse über ihn und seine individuellen Lebensumstände hat, die über das hinausgehen, was er durch die Nutzung des sozialen Netzwerks „I“ über sein Privatleben preisgibt. Da die Erhebung und Übermittlung personenbezogener Daten durch die „M Business Tools“ bei Nutzung des Internets und von Apps im Hintergrund läuft und die Beklagte weder von sich aus noch auf Verlangen im vorliegenden Prozess näher beauskunftet, welche Informationen sie vom Kläger jenseits der durch Nutzung der sozialen Netzwerke anfallenden Informationen hat, fehlt ihm jedwede Kenntnis und erst recht die Kontrolle darüber, bis zu welchem Grad die Beklagte ohne seinen Willen über ein Persönlichkeitsprofil ihn betreffend – oder jedenfalls die dafür benötigten Informationen – verfügt. Dies stellt einen immateriellen Schaden im vorstehenden Sinne dar.

Dieser ist auch kausal auf die mit dem Empfang und der Speicherung der durch die „M Business Tools“ erfassten personenbezogenen Daten einhergehenden Verstöße der Beklagten gegen Art. 6 DSGVO zurückzuführen. Denn hätte die Beklagte diese Bestimmungen eingehalten, hätte sie entweder selbst eine den Kriterien des Art. 7 DSGVO, der namentlich Freiwilligkeit verlangt, genügende Einwilligung des Klägers in die Datenverarbeitung der außerhalb ihrer sozialen Netzwerke anfallenden personenbezogenen Daten – über die bloße Anzeige personalisierter Werbung hinaus in Gänze – einholen oder auf die Bereitstellung dieser Tools verzichten müssen. Da die Beklagte nicht vorgetragen hat und auch sonst nicht ersichtlich ist, dass der Kläger ihr eine solche globale Einwilligung in die Erfassung seines Internetkonsums freiwillig gegeben hätte, würden der Beklagten in Konsequenz eines rechtmäßigen Verhaltens keine Informationen über personenbezogene Daten des Klägers vorliegen, die außerhalb der sozialen Netzwerke durch die Nutzung von anderen Apps und Webseiten anfallen. Entsprechend würden der Beklagten nur die Informationen über den Kläger vorliegen, die dieser selbst auf den sozialen Netzwerken preisgibt, womit dieser die Kontrolle über seinen personenbezogenen Daten hätte.

Kausalität in diesem Sinne besteht auch, soweit es um die vorbenannten weiteren Verstöße gegen die Grundsätze des Art. 5 Abs. 1 DSGVO geht.

Eine Exkulpation der Beklagten nach Art. 82 Abs. 3 DSGVO kommt nicht in Betracht, da die Beklagte für den vorstehenden Schaden verantwortlich ist. Sie kann sich insbesondere nicht durch den Verweis auf ihre Nutzungsbedingungen und ergänzenden vertraglichen Regelungen mit Dritten sowie die diesen gegebenen Hinweisen für eine datenschutzkonforme Datenerhebung von der Haftung befreien. Denn wie vorstehend ausgeführt lässt dies ihre Verantwortlichkeit im Sinne von Art. 4 Nr. 7 DSGVO für die letztlich allein bei ihr anfallenden und durch Speicherung verarbeiteten personenbezogenen Daten des Klägers nicht entfallen. Ein etwaiges Vertrauen auf die rechtmäßige datenschutzkonforme Verarbeitung personenbezogener Daten durch Dritte vermag sie nicht zu entschuldigen. Die Verantwortung für die Einhaltung des Art. 6 DSGVO bezüglich der ihr übermittelten und von ihr gespeicherten Daten kann sie nicht an die Dritten delegieren.

b)

Der Höhe nach ist ein Betrag von 3.000,00 € als immaterieller Schadensersatz angemessen.

Dem immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO kommt nach der Rechtsprechung des EuGH allein eine Ausgleichsfunktion zu, während die Vorschrift keinen Strafzweck verfolgt sowie keine Abschreckungsfunktion gegenüber dem Schädiger und keine Genugtuungsfunktion für den Geschädigten erfüllen soll (EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 58; EuGH, Urteil vom 20. Juni 2024 – C-182/22 und C-189/22 –, Rn. 21 ff., juris). Der Grad des Verschuldens des Schädigers ist ebenfalls kein relevanter Bemessungsfaktor (EuGH, Urt. v. 4.9.2025 – C-655/23).

Die Entwicklung von Kriterien zur Schadensbemessung anhand der allein maßgeblichen Ausgleichsfunktion überlässt der EuGH dem nationalen Recht, das dabei allerdings den Effektivitäts- und Äquivalenzgrundsatz zu berücksichtigen hat (EuGH, Urteil vom 20. Juni 2024 – C-182/22 und C-189/22 –, Rn. 27, juris). Hier ist nach Auffassung des Senats auf die Maßstäbe zurückzugreifen, die der BGH anlässlich des sog. Scraping-Falls zur Schadensbemessung bei Datenschutzverstößen entwickelt hat. Danach sind die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO, der Verwendungszweck, die Art des Kontrollverlusts etwa mit Blick auf den Empfängerkreis, dessen Dauer sowie die Möglichkeit der Wiedererlangung der Kontrolle maßgebliche Faktoren (BGH Urt. v. 18.11.2024 – VI ZR 10/24, GRUR-RS 2024, 31967 Rn. 99, beck-online).

Der Senat geht entgegen der – in der mündlichen Verhandlung und mit dem Schriftsatz vom 30.01.2026 nochmals bekräftigten – Auffassung der Beklagten davon aus, dass vorliegend sensible Daten des Klägers im Sinne von Art. 9 Abs. 1 DSGVO von der rechtswidrigen Datenverarbeitung der Beklagten betroffen sind.

Der Kläger hat zu seinem Internet-Konsum überschlägig ausgeführt, dass und wie oft er u.a. Webseiten mit Inhalten nutzt, die finanzielle, politische und weltanschauliche, rechtliche sowie Gesundheits-Themen betreffen. Er ist auf dieser Grundlage der Auffassung, dass die Beklagte zu diesen Themenbereichen über gem. Art. 9 Abs. 1 DSGVO zu bewertende personenbezogene Daten betreffend seine Person verfügt. Die Beklagte beschränkt sich auf schlichtes Bestreiten und den Verweis auf ihre Rechtsauffassung, dass das vom Kläger beschriebene Nutzungsverhalten des Internets insgesamt nur der Sozialsphäre zuzuordnen sei.

Der EuGH hat in seiner Entscheidung „M vs. Bundeskartellamt“ zur Auslegung des Art. 9 Abs. 1 DSGVO judiziert, dass bei Nutzung von Websites oder Apps mit Bezug zu einer oder mehreren der in dieser Bestimmung genannten Kategorien die Erhebung der dort anfallenden Daten durch den Betreiber eines sozialen Netzwerks unter Verknüpfung mit dem dortigen Nutzerkonto als Verarbeitung besonderer Kategorien personenbezogener Daten anzusehen ist (EuGH, Urteil vom 04.07.2023 – C-252/21, Rn. 64 ff., juris). Er hat damit zum Ausdruck gebracht, dass die Beklagte durch Verknüpfung der auf Webseiten mit von Art. 9 Abs. 1 DSGVO umfassten Inhalten anfallenden Nutzerdaten des Klägers mit dessen Benutzerkonto bei I personenbezogene Daten besonderer Kategorien verarbeitet. Es genügt insoweit, dass die betreffenden Webseiten und Apps einen Bezug zu sensiblen Informationen aufweisen und erst in der Gesamtschau aus den anfallenden Daten eine Erfassung z.B. der politischen Ausrichtung des Betroffenen möglich wird.

Nach diesen Maßstäben steht fest, dass es über den über streitgegenständlichen siebenjährigen Zeitraum zu einer Verarbeitung von personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO gekommen ist. Das Bestreiten der Beklagten mit Nichtwissen ist unbeachtlich. Sie verfügt unstreitig über die bei ihr gespeicherten HTTP-Standarddaten sowie Aktivitätsdaten des Klägers zu von ihm besuchten Webseiten und genutzten Apps, auf denen die „M Business Tools“ aktiv sind bzw. waren. Ihr ist es daher nach § 138 Abs. 2 ZPO ohne weiteres möglich, inhaltlich das Vorhandensein von Daten mit Bezug zu den Kategorien im Sinne von Art. 9 DSGVO zu bestreiten und diesbezüglich anhand der ihr vorliegenden Informationen vorzutragen. Angesichts des nur allgemeinen Klägervortrags sind an diesen Vortrag keine hohen Anforderungen zu stellen. Nicht genügt aber ein schlichtes Bestreiten bzw. Bestreiten mit Nichtwissen unter Verweis auf die Darlegungslast der Gegenseite.

Die Verarbeitung von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO steht auch nicht in Frage, soweit die Beklagte in dem nachgelassenen Schriftsatz vom 30.01.2026 nach Schluss der mündlichen Verhandlung zu ihren „freiwilligen erheblichen Anstrengungen“ vorgetragen hat, den Empfang und die Verwendung potenziell sensibler Daten zu verhindern. Das Vorbringen gibt insbesondere keinen Anlass, die mündliche Verhandlung nach § 156 Abs. 1 ZPO wiederzueröffnen. Zum einen bezieht sich die Beklagte nur auf nach eigenen Kategorien als sensibel eingestufte Daten ohne hierzu überprüfbar darzulegen, ob diese Kategorisierung mit den Vorgaben der EuGH-Rechtsprechung zu Art. 9 DSGVO vereinbar ist. Unklar ist auch, in welchem Umfang die Beklagte Einschränkungen der „M Business Tools“ vornimmt, d.h. ob sie die Übermittlung personenbezogener Daten von Webseiten mit Bezug zu den sensiblen Kategorien insgesamt ausschließt oder nur spezifische Daten, z.B. Aktivitätsdaten, nicht annimmt, was nach vorstehender Rechtsprechung die Betroffenheit von Art. 9 Abs. 1 DSGVO nicht ausschließen würde. Dafür, dass der Mechanismus allenfalls einen unzureichenden Schutz der von Art. 9 Abs. 1 DSGVO erfassten personenbezogenen Daten bietet, spricht jedenfalls, dass der „M-Pixel“ auf ausschließlich solche sensible Informationen betreffenden Webseiten wie niewiederalkohol.de, shop-apotheke.com, medikamente-per-klick.de, jameda.de und amorelie.de implementiert war und unstreitig Daten an die Beklagte übermittelt. Außerdem lässt die Beklagte offen, seit wann sie welche der beschriebenen Maßnahmen ergreift. Eine durchgehende Implementierung seit Mai 2018 behauptet sie nicht. Gerichtsbekannt ist hingegen zu der von ihr beschriebenen Maßnahme „Core Setup“, dass erst Anfang 2025 das „M Sensitive Ads Update“ eingeführt worden ist, mit dem die „M Business Tools“ für Unternehmen aus dem Gesundheits- und Finanzbereich künftig in das sog. „Core Setup“ mit nur eingeschränkter Datenübermittlung eingestuft werden. (S. 9 d. Klageschrift v. 16.01.2024, Bl. 9 d.A. 1. Inst.). Schließlich lässt die Beklagte bestenfalls im Unklaren, ob die von ihr behaupteten Filtertechniken tatsächlich dazu führen sollen, dass sie die betreffenden sensiblen Daten überhaupt nicht speichert. Denn es heißt insoweit, die automatisierte Filterung erfolge „unmittelbar nach dem Empfang der Ereignisdaten und bevor sie in den Werbesystemen von M gespeichert oder verwendet“ würden. Mit anderen Worten scheint jedenfalls der Empfang der Daten uneingeschränkt vonstatten zu gehen und es dürfte auch eine Speicherung – nur eben nicht in den Werbesystemen – erfolgen.

Im Ergebnis bleibt es damit bei der für die Bemessung der Schadenshöhe relevanten Betroffenheit von personenbezogenen Daten des Klägers im Sinne von Art. 9 Abs. 1 DSGVO.

Was die Verwendung der sensiblen Daten durch die Beklagte angeht, ist vom Kläger weder vorgetragen noch sonst ersichtlich, wozu sie bis auf die Verfeinerung der Anzeige von auf individuelle Interessen abgestimmten Inhalte und Werbemaßnahmen konkret genutzt werden. Insbesondere kann nicht angenommen werden, dass diese Informationen durch Weitergabe an Dritte unmittelbar kommerzialisiert werden. Unter der Prämisse, dass ein auf die individuellen Interessen abgestimmtes Inhalts- und Werbeerlebnis bei Nutzung sozialer Netzwerke nicht ohne weiteres nachteilig für den Betroffenen ist, kann aus dem Verwendungszweck kein besonderes Schadensmoment abgeleitet werden.

Betreffend den beim Kläger eingetretenen Kontrollverlust steht einerseits fest, dass es nur die Beklagte allein ist, bei der sämtliche Informationen, die die Erstellung eines Persönlichkeitsprofils ermöglichen, zusammenlaufen. Andererseits ist der Kontrollverlust insoweit besonders gravierend als für den Kläger als Betroffenen vollkommen unklar ist, in welchen Bereichen seiner persönlichen Existenz und dort in welchem Umfang die Beklagte über ein Persönlichkeitsprofil bzw. den dafür erforderlichen Datensatz verfügt. Insoweit ist festzuhalten, dass aufgrund der weitreichenden Verbreitung der „M Business Tools“ einerseits und der nahezu durchgängigen Relevanz des Internets für sämtliche Lebensbereiche andererseits das Gefühl einer tiefgreifenden und durchgängigen Überwachung des Privatlebens entstehen kann (EuGH, Urteil vom 4. Juli 2023 – C-252/21 –, Rn. 118, juris). Die Art des entstandenen Kontrollverlustes ist deshalb verglichen etwa mit den sog. Scraping-Fällen als deutlich schwerwiegender anzusehen. Dabei ist auch zu sehen, dass bei den in unbefugte Hände gelangten personenbezogenen Daten eine Wiederherstellung der Kontrolle durch Veränderung von Einstellungen sowie insbesondere den Wechsel von Telefonnummern und anderen abgeflossenen Kontaktdaten möglich war. Dies ist je nach Umfang mit einem überschaubaren Aufwand zu bewältigen. Vorliegend wird angesichts der alleinigen faktischen Datenhoheit der Beklagten jedoch auch bei gerichtlicher Durchsetzung eines Löschungsanspruchs das Gefühl bleiben, über mitunter sehr persönliche Informationen dauerhaft die Kontrolle verloren zu haben. Von Gewicht für den Kontrollverlust ist diesbezüglich auch, dass die Beklagte eine konkrete Beauskunftung der ihr aufgrund der „M Business Tools“ vorliegenden Informationen über den Kläger bis zuletzt verweigert hat und ihr bezogen auf die Übermittlung von personenbezogenen Daten des Klägers an Dritte eine Auskunft nach eigenem Vorbringen unmöglich ist, mithin der Kläger nicht in Erfahrung bringen kann, in welchem Umfang welche Dritte aufgrund der Datenschutzverstöße der Beklagten Kenntnis haben von Informationen, die Rückschlüsse auf seine Persönlichkeit erlauben. Zu berücksichtigen ist ferner die weltweit erfolgende Speicherung der personenbezogenen Daten auf den Servern der Beklagten, namentlich auch in den USA mit einem gerichtsbekannt vergleichsweise niedrigeren Datenschutzniveau.

Schließlich spricht für die Annahme eines erheblichen Schadens, dass die rechtswidrige Datensammelpraxis der Beklagten einen Zeitraum seit dem Inkrafttreten der DSGVO bis heute und damit ca. ein dreiviertel Jahrzehnt betrifft. Damit hat sich die Beklagte nicht nur einen temporären Ausschnitt der ein Persönlichkeitsprofil ergebenden personenbezogenen Daten verschafft, sondern dies für einen erheblichen Teil des Lebens des Klägers getan und dabei fortwährend seine Datenschutzrechte verletzt.

Bei zusammenfassender Würdigung dieser Umstände erachtet der Senat einen Betrag von 3.000,00 € für angemessen, um der langanhaltenden und weitreichenden Aufzeichnung eines beträchtlichen Teils des Privatlebens des Klägers Rechnung zu tragen. Deutlich niedrigere Beträge (vgl. zuletzt OLG München, Urteil vom 18. Dezember 2025 – 14 U 1068/25 e –, Rn. 250, juris: 750,00 €) schaffen nach Auffassung des Senats hingegen nicht den notwendigen Ausgleich mit Blick auf Umfang und Dauer der aus den Datenschutzverstößen resultierenden Beeinträchtigung, wie sie sich aus dem vorstehenden ergibt.

c)

Inwiefern neben dem unionsrechtlichen Entschädigungsanspruch auch ein Anspruch aus § 823 Abs. 1 BGB i.V.m. Art. 1, 2 GG in Betracht kommt, kann der Senat offen lassen. Denn auf alleiniger Basis des nationalen Rechts und der sich hierzu etablierten Schmerzensgeldpraxis bei Datenschutzverstößen kann jedenfalls kein höherer Entschädigungsbetrag verlangt werden als jener, welcher auf der Grundlage des Art. 82 DSGVO angemessen ist. So mag zwar nach nationalem Recht neben dem Ausgleichs- auch das Genugtuungsinteresse und der Gedanke der Prävention für die Bemessung von Relevanz sein. Daraus ließe sich aber angesichts der dann auch notwendigen verhältnismäßigen Einpassung in die nationale Schmerzensgeldrechtsprechung zu anderen Rechtsgütern kein höherer Betrag etablieren (vgl. LG Leipzig, Urteil vom 15. August 2025 – 05 O 1939/24 –, Rn. 133, 144, juris).

d)

Der Kläger hat des Weiteren einen Anspruch auf Verzugszinsen aus der Schadensersatzforderung ab Rechtshängigkeit gem. §§ 286 Abs. 1, 291 Abs. 1 BGB.

4. Klageantrag zu 4. – Kosten der außergerichtlichen Rechtsverfolgung

Der Kläger hat keinen Anspruch auf Freistellung von vorgerichtlichen Rechtsanwaltskosten gegen die Beklagte nach Art. 82 Abs. 1 DSGVO, §§ 249 Abs. 1, 257 S. 1 BGB.

Die Beklagte hat, was sie in der Berufungserwiderung unter Hinweis auf eine insoweit ersichtlich unzutreffende Feststellung im Tatbestand des erstinstanzlichen Urteils nochmals hervorhebt, durchgehend bestritten, ein außergerichtliches Aufforderungsschreiben, wie es sich in Anlage K3 findet, erhalten zu haben. Voraussetzung für das Entstehen eines Freistellungsanspruchs ist, dass ein Gebührenanspruch des Prozessbevollmächtigten des Klägers gegen diesen besteht, deren Entstehung wiederum ein außergerichtliches Tätigwerden gegenüber der Beklagten voraussetzt. Hierfür ist der Kläger darlegungs- und beweisbelastet. Auf den mit der Klageerwiderung erhobenen Einwand, keine außergerichtliche Aufforderung erhalten, sondern von dieser erst mit der Klageschrift Kenntnis erlangt zu haben, ist der Kläger inhaltlich nicht weiter eingegangen. Er hat lediglich den Versand anwaltlich versichert. Dies ist – abgesehen davon, dass die anwaltliche Versicherung kein taugliches Beweismittel im Sinne des maßgeblichen Strengbeweises ist – nicht ausreichend, da es auf den Zugang des Schreibens ankommt.

Die Kostenentscheidung beruht auf §§ 92 Abs. 2 Nr. 1, 97 Abs. 1 ZPO.

Die Entscheidung zur vorläufigen Vollstreckbarkeit fußt auf §§ 708 Nr. 10, 711 S. 1 ZPO. Der Betrag der Sicherheitsleistung entspricht 120 % des Streitwerts der Verurteilungen zur Auskunftserteilung (2.000,00 €) und zum Schadensersatz (3.000,00 €). Der Wert des Löschungsanspruchs war nicht miteinzubeziehen, da eine Vollstreckung nicht vor Ablauf von sechs Monaten nach Rechtskraft des Urteils in Betracht kommt.

Die Revision der Beklagten war nach § 543 Abs. 2 S. 1 Nr. 1 ZPO zuzulassen. Die Rechtssache hat grundsätzliche Bedeutung, da in einer unbestimmten Vielzahl von Parallelfällen die an den Vortrag der Betroffenen zur Internetnutzung anzulegenden entscheidungserheblichen Maßstäbe gem. § 138 Abs. 1 ZPO unterschiedlich ausgelegt werden und zugleich beträchtliche Divergenzen bei der Höhe des zuzusprechenden Schmerzensgeldes in der Instanz-, aber auch der obergerichtlichen Rechtsprechung trotz weitgehend identischer Sachlage festzustellen sind. Gründe, die die Zulassung der Revision des Klägers hinsichtlich der teilweisen Zurückweisung seiner Berufung rechtfertigen könnten, sind hingegen nicht ersichtlich.

---