2-01 O 32/20

Die Klage wird abgewiesen. Der Kläger trägt die Kosten des Rechtsstreits. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils vollstreckbaren Betrages vorläufig vollstreckbar. I. Die Klage ist zulässig. Das Landgericht Frankfurt am Main ist örtlich zuständig gemäß Art. 7 Nr. 2 EuGVVO, Art. 7 Nr. 5 EuGVVO und Art. 79 Abs. 2 DSGVO. II. Die Klage ist unbegründet. Antrag zu 1) Der Kläger hat keinen Anspruch gegen die Beklagte auf Unterlassung der Verarbeitung und Veröffentlichung personenbezogener Daten des Klägers aus § 82 Abs. 2 DSGVO, § 1004 Abs. 1 Satz 2 BGB (analog). Der Antrag ist bereits unzulässig. Ein Rechtsschutzbedürfnis ist nicht erkennbar. Denn dem Kläger stand ein einfacherer und schnellerer Weg zur Verfügung, um seine Daten zu sichern bzw. einen erneuten Datenvorfall vermeiden zu können. Er hätte gemäß Art. 17 DSVGO die Löschung seiner zum Zweck des Betriebs des Bonusprogramms verarbeiteten Daten verlangen können. Sie Beklagte stellt dafür ein Online-Formular zur Verfügung. Der Verweis auf die Löschungsmöglichkeit des Art. 17 DSGVO ist auch nicht unbillig. Bis zur Kündigung des […] Programms durch die Beklagte im Juni 2020 hätte die Möglichkeit eines Vorgehens nach Art. 17 DSGVO ein Rechtsschutzbedürfnis des Klägers zwar noch nicht entfallen lassen können. Denn der Kläger konnte ein berechtigtes (wirtschaftliches) Interesse an der Teilnahme an diesem Programm haben. Wenn und soweit die Beklagte ihren Kunden ein solches Programm zur Verfügung stellt, war sie freilich gehalten, ein Schutzniveau zu pflegen bzw. über Drittanbieter zu gewährleisten, dass einen Datenmissbrauch ausschließt. Es hätte dem Sinn und Zweck der Datenschutzgrundverordnung widersprochen, den Kunden alleine darauf zu verweisen, er möge seine Daten löschen und damit nicht mehr an dem Programm teilnehmen. Anstelle eines hohen Schutzniveaus für persönliche Daten, hätte es die Beklagte dann schlicht in der Hand gehabt, ihre Kunden zu einem Vorgehen nach Art. 17 DSGVO zu zwingen. Diese Gründe gegen einen Verweis auf Art. 17 DSGVO liegen mittlerweile aber nicht mehr vor. Denn die Beklagte hat das Programm beendet und ihren Kunden gekündigt. Ein wirtschaftlicher oder rechtlicher Nachteil kann dem Kläger daher nicht daraus erwachsen, eine Löschung nach Art. 17 DSGVO zu begehren. Jedenfalls hat er nichts dergleichen dargelegt. Der Antrag zu 1) ist auch unbegründet. Die Kammer muss nicht entscheiden, ob das Sanktionsregime der DSGVO abschließend ist und – nachdem es selbst keine Unterlassungsansprüche vorsieht – einen Rückgriff auf andere Unterlassungsansprüche, hier § 1004 BGB, zulässt. Denn die Voraussetzungen des § 1004 BGB liegen auch in der Sache in keinem Fall vor. Eine Wiederholungsgefahr ist nicht gegeben. Sie ist gemäß § 1004 Abs. 1 Satz 2 BGB Voraussetzung eines Unterlassungsbegehrs, denn es müssen weitere Beeinträchtigungen drohen, das heißt, es muss die auf Tatsachen gestützte, objektiv ernstliche Gefahr alsbaldiger weiterer nicht zu duldender Störungen bestehen. Sie kann bei einem vorangegangenen rechtswidrigen Eingriff regelmäßig vermutet werden (vgl. nur BGH Urt. v. 12.12.2003, V ZR 98/03 - Wiederholungsgefahr) oder vorliegen, wenn eine Beeinträchtigung erstmals zu besorgen ist (Spohnheimer in BeckOK, BGB, Gsell/Krüger/Lorenz/Reymann, § 1004, Rn. 270 - Erstbegehungsgefahr). Ob in der Zugänglichmachung der Daten des Klägers im Internet ein „Veröffentlichen“ im Sinne des klägerischen Antrages zu 1) gesehen werden kann und damit ein Eingriff in die Rechte des Klägers möglicherweise bereits eingetreten ist, ist fraglich. Denn der Begriff des „Veröffentlichens“ ist kein legal definierter. Seinem Sinngehalt nach dürfte er das bewusste und gezielte Kundtun gegenüber einer Vielzahl von Personen umfassen. Diese Frage kann aber nunmehr dahinstehen. Denn auch wenn bereits eine Rechtsverletzung eingetreten wäre, könnte im vorliegenden Fall ein wiederholter Eingriff in die klägerischen Rechte nicht vermutet werden. Eine Vermutung für eine wiederholte Verletzungshandlung setzt nämlich voraus, dass der zugrundeliegende Sachverhalt unverändert fortbesteht (OLG Schleswig, Urt. v. 28.2.2012, 11 U 64/10, Rn. 59 zitiert nach Juris). Das ist aber offenkundig nicht der Fall. Nach dem unstreitigen Parteivortrag war Ursache des Erscheinens der klägerischen Daten im Internet, dass das voreingestellte Initialpasswort eines Administratorkontos bei […] abgegriffen wurde. Mittlerweile ist […] aber nicht mehr Kooperationspartner der Beklagten. Sie speichert und verarbeitet die Daten ihrer Kunden für das Bonusprogramm selbst. Darüber hinaus hat die Beklagte das Programm sogar beendet. Es ist daher ausgeschlossen, dass durch dieses Bonusprogramm erneut Daten von Kunden bekannt werden. Es ist auch nicht zu besorgen, dass die Beklagte durch unsachgemäße Verwaltung, Verarbeitung oder Speicherung von Daten ihrer Kunden einen Datenvorfall verursacht. Die Beklagte hat keinerlei Interesse daran, dass dies erneut passiert. Aus Gründen der Reputation und in ihrem Geschäftsinteresse ist es ihr ureigenes Anliegen, dass Daten ihrer Kunden nicht für Dritte zugänglich sind. Denn das Vertrauen in die Sicherheit eines Zahlungssystems ist für Verbraucher und die Kunden der Beklagten immanent wichtig und kann für die Entscheidung, ein Vertragsverhältnis mit ihr einzugehen, entscheidend sein. Es wäre rufschädigend, wenn Daten von […] -Kunden – sei es der Beklagten, ihrer Konzernmutter oder sonstiger verbundener Unternehmen – wiederholt für Dritte zugänglich wären. Die Interessenlage ist daher eine gänzlich andere, als etwa bei einem wettbewerbsrechtlichen oder auch einem presserechtlichen Rechtsverstoß und daraus resultierenden Unterlassungsansprüchen. Das ist auch bei der Beurteilung einer etwaigen Wiederholungsgefahr zu bedenken. Aus den vorgenannten Gründen ist auch eine Erstbegehungsgefahr zu verneinen. Freilich besteht bei jedem Unternehmen, das Daten seiner Kunden speichert und verwendet, die potentielle Gefahr, dass Dritte in krimineller Absicht auf selbige zugreifen oder zuzugreifen versuchen. Nach dem Vortrag der Parteien ist sie bei der Beklagten aber nicht höher als bei einem anderen Unternehmen. Weitere Anspruchsgrundlagen sind für einen Unterlassungsanspruch nicht erkennbar. Die von der Klägerseite genannten § 823 Abs. 2 i. V. m. Art. 5 Abs. 1 a), f) DSVGO, § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, 1 Abs. 1 GG sowie § 280 BGB sind auf Schadensersatz gerichtete Normen. Ein Unterlassen kann auf ihrer Grundlage nicht mit Erfolg begehrt werden. Antrag zu 2) Der hilfsweise geltend gemachte Antrag zu 2) ist bereits unzulässig. Es mangelt ihm an hinreichender Bestimmtheit im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Das Bestimmtheitserfordernis ist bei Unterlassungsklagen allgemein dann erfüllt, wenn der Kläger die Verletzungshandlung, gegen die er sich wendet und deren künftige Unterlassung er erreichen will, genau beschreibt (Becker-Eberhard in Müko, 5. Aufl. 2016, § 253, Rn. 133). Ein Unterlassungsantrag muss so deutlich gefasst sein, dass er den Gegenstand des Verfahrens und damit den Umfang der Entscheidungsbefugnis des Gerichts (§ 308) sowie der Rechtskraft seiner Entscheidung (§ 322) genau fixiert, der Beklagte sich erschöpfend verteidigen und anhand einer dem Antrag entsprechenden Verurteilung eindeutig erkennen kann, was er zu unterlassen hat, und die Entscheidung darüber, was ihm durch die Verurteilung verboten ist, nicht dem Vollstreckungsverfahren überlassen bleibt (Becker-Eberhard a.a.O. unter Hinweis auf BGH Urt. v. 11.10.1990, I ZR 35/89 - „ähnlich wie“: BGH Urt. v. 9.4.1992, I ZR 171/90 – „Recht wie in Bestellung anwendbar“; BGH Urt. v. 18.9.1997, I ZR 71/95 – „Modenschau im Salvatorkeller“; BGH Urt. v. 24.11.1999, I ZR 189/97 – „Werbeanzeigen für Arzneimittel, gesetzeswiderholen-der Unterlassungsantrag“, jeweils zitiert nach Juris). Zwar sind auslegungsbedürftige Anträge nicht schlechterdings unzulässig. Es ist jeweils der Einzelfall zu betrachten. Sie sind hinzunehmen, wenn über den Sinngehalt des Antrages kein Zweifel besteht. Besteht indes Streit, ob ein beanstandetes Verhalten unter den auslegungsbedürftigen Begriff fällt, wird eine Bestimmtheit zu verneinen sein (BGH Urt. v. 26.10.2000, I ZR 180/98 unter Ziff. 4. b), zitiert nach Juris). Dann würde der Kern des Rechtsstreits nämlich nicht im Streitverfahren geklärt, sondern in das Vollstreckungsverfahren verlagert. Nach diesen Maßstäben ist die Bestimmtheit des klägerischen Antrages zu verneinen. Der Kläger begehrt für die Verarbeitung seiner personenbezogenen Daten die Ergreifung „risikoadäquater Maßnahmen zum Schutz der Daten“. Welche Maßnahmen dies sind, sagt er nicht. Sein Antrag bedarf der Auslegung, denn die Beklagte bestreitet gerade, keine ausreichenden Maßnahmen bei der Verarbeitung der Daten des Klägers – sei es durch sie selbst oder ihren Drittanbieter […] – vorgesehen zu haben. Nichts anderes folgt aus der Entscheidung des BVerfG vom 28.5.1996 (BvR 927/91, NJW 1996, 2567). Zwar mag der Kläger möglicherweise nicht gehalten sein, seinen Antrag näher zu konkretisieren. Das kann aber dahinstehen. Denn wenn und soweit er (möglicherweise) überobligatorisch die Durchführung „risikoadäquater Maßnahmen“ fordert und seinen Antrag dahingehend spezifiziert hat, muss er sich daran festhalten lassen. Es ist einem Gericht nicht möglich, den Antrag „nur“ insoweit zu bescheiden, als er dem Bestimmtheitserfordernis des § 253 ZPO genügt. Auch kann der Kläger sich nicht darauf zurückziehen, er kenne die Ursache des „Datenlecks“ nicht und könne seinen Antrag nicht näher konkretisieren. Im Hauptsacheverfahren haben die Parteien nun unstreitig gestellt, dass der Datenvorfall darauf zurückzuführen ist, dass ein Angreifer über ein Administratorkonto mit voreingestelltem – und nicht geändertem – Initialpasswort auf die […] -Umgebung zugreifen konnte. Es wäre dem Kläger daher möglich gewesen seinen Antrag so zu formulieren, dass „Pannen“ dieser Art ausgeschlossen sind. Der Antrag ist zudem unzulässig, weil der Kläger nach Art. 17 DSGVO hätte vorgehen und die Löschung seiner Daten hätte verlangen können. Auf die Darlegungen zum Antrag zu 1) wird verwiesen. Der Antrag ist auch unbegründet. Für das Unterlassungsbegehren nach Art. 82 Abs. 1 DSGVO, § 1004 Abs. 1 Satz 2 BGB (analog) fehlt es wiederum an einer Wiederholungsgefahr. Die Ausführungen zum Antrag zu 1) gelten entsprechend. Es wird auf sie verwiesen. Antrag zu 3) Der Antrag ist unbegründet. Der Kläger hat keinen Anspruch auf Zahlung von Schadensersatz aus Art. 82 DSGVO. Ob die Beklagte oder deren Drittanbieter […] gegen Datenschutzrecht verstoßen haben, kann dahinstehen. Denn es fehlt bereits am Vorliegen eines Schadens. Ein materieller Schaden ist zweifelsohne nicht gegeben. Ein Missbrauch der aufgrund des Datenvorfalls im Internet zugänglich gewordenen Daten des Klägers ist bis heute nicht bekannt. Auch ein immaterieller Schaden ist nicht erkennbar. Zutreffend hat der Klägervertreter darauf hingewiesen, dass die Regelung des Art. 82 DSGVO autonom auszulegen ist. Erwägungsgrund 146 Satz 6 DSGVO besagt, dass die betroffene Peron „einen vollständigen und wirksamen Schadensersatz“ für den erlittenen Schaden erhalten soll. Beispielhaft werden in den Erwägungsgründen 75 und 85 als Nichtvermögensschäden genannt: Diskriminierung, Identitätsdiebstahl- oder -Betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugte Aufhebung der Pseudonymisierung oder andere gesellschaftliche Nachteile. Außerdem fordert Satz 3 des Erwägungsgrundes 146, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung entspricht. Vor diesem Hintergrund ist nach wohl allgemeiner Meinung der Begriff des (immateriellen) Schadens nach der Verordnung weit auszulegen (Bergt in Kühling/Bucher, DSGVO, BDSG, 3. Aufl. 2020, Art. 82, Rn. 17 ff.; Frenzel in Paal/Pauly, DSGVO BDSG, 2. Aufl. 2018, Rn. 10; vgl. auch Bernhard Kreß in Sydow, DSGVO, 2. Aufl. 2018, Art. 82, Rn. 6; BeckOK-Quaas, Datenschutzrecht, 33. Edition 2020, Art. 82, Rn. 31 f.; Franzen in Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Rn. 21 f.; Gola/Piltz in Gola, DSGVO, 2. Aufl. 2018, Art. 82, Rn. 12; Nemitz in Ehman/Selmayr, DSGVO, 2. Afl. 2018, Art. 82, Rn. 13). Einigkeit besteht darin, dass ein schwerwiegender Eingriff in Persönlichkeitsrechte, wie er in Deutschland unter dem Reglement des BDSG gefordert wurde, im Rahmen des Art. 82 DSVGO eine unzulässige Einschränkung dieser Norm wäre (Gola/Piltz, a.a.O., Rn. 12; Franzen, a.a.O., Rn. 21; Quaas, a.a.O., Rn. 31; Bergt, a.a.O., Rn. 19). Auch Erwägungsgrund 75 unterstreicht diese Deutung, denn er besagt, dass der Kontrollverlust bei der Bearbeitung personenbezogener Daten ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen können, die wiederum unter anderem zu einem immateriellen Schaden führen können. Wenn also unter bestimmten Kautelen ein Kontrollverlust zu einem Schaden führen kann, spricht dies dafür, weitere einschränkende Voraussetzungen nicht vorzusehen. Indes kann nicht alleine mit dem Verstoß gegen datenschützende Normen ein Schaden im Sinne des Art. 82 DSGVO bejaht werden. Abs. 1 dieser Regelung benennt den Schaden ausdrücklich als eigenes Tatbestandsmerkmal. Auch Erwägungsgrund 146 Satz 6 der Verordnung spricht von einem „erlittenen“ Schaden. Nur eine in irgendeiner Weise messbare Beeinträchtigung kann entschädigt werden. Für die bloße Missachtung datenschutzrechtlicher Regeln gewährt Art. 82 DSGVO keine Kompensation. Streitig ist hier, ob bloße Bagatellschäden vom Anwendungsbereich der Verordnung ausgenommen sind. Das wird teilweise mit der Begründung bejaht, Ziel der DSGVO sei eine Abschreckung (Bergt, a.a.O., Rn. 18a; Quaas, a.a.O., Rn. 31). Deswegen dürfe auch der zugesprochene Schadensersatz nicht rein symbolischer Natur sein, sondern müsse einiges Gewicht haben (Bergt, a.a.O, Rn. 17). Dagegen wird eingewandt, Erwägungsrund 146 der Verordnung verlange auch bei weiter Auslegung nicht, dass jede individuell empfundene Unannehmlichkeit und jeder Bagatellverstoß einen Schadensersatzanspruch begründe (OLG Dresden, Beschluss vom 11.6.2019, 4 U 760/19, BeckRS 2019, 12941 sowie Urt. v. 11.12.2019, 4 U 1680/19, Rn. 25 zitiert nach Juris sowie Urt. v. 20.8.2020, 4 U 784/20 Rn. 32 zitiert nach Juris; vgl. auch LG Karlsruhe, Urt. v. 2.8.2019, 8 O 26/19, ZD 2019, 511, 512; AG Dietz, Urt. v. 7.11.2018, 8 C 130/18, zitiert nach Juris; Gola/Piltz in Gola, DSGVO, 2. Aufl. 2018, Art. 82, Rn. 13; Becker in Plath, DSGVO/BDSG, 3. Aufl. 2018, Art. 82, Rn. 4c). Die Kammer schließt sich diesem Verständnis an. Bagatellverstöße ohne ernsthafte Beeinträchtigung des Betroffenen können keine Ersatzpflicht nach Art. 82 DSGVO auslösen. Dies folgt nicht nur aus dem Erfordernis eines „erlittenen“ Schadens (Erwägungsgrund 146). Eine Kompensation setzt naturgemäß voraus, dass eine tatsächlich messbare Beeinträchtigung vorliegen muss. Keinesfalls überzeugt das Argument, Bagatellen könnten deswegen nicht von Art. 82 DSGVO ausgenommen werden, weil die Verordnung spürbare Schadensersatzsummen fordere (so wie bereits zitiert Bergt, a.a.O, Rn. 17). Von einer erstrebten Rechtsfolge kann nämlich nicht auf deren Voraussetzungen geschlossen werden. Zudem käme Art. 82 DSGVO dann einem Strafschadensersatz gleich. Dieses Verständnis ist der Verordnung aber nicht zu entnehmen. Auch generalpräventive Überlegungen rechtfertigen es nicht, nicht oder kaum messbare Bagatellen mit Schadensersatzfolgen zu belegen. Andernfalls bestünden ein erhebliches Missbrauchsrisiko und unangemessene Risiken für Unternehmen, die sich bei unmaßgeblichen und im Geschäftsverkehr kaum auszuschließenden marginalen Datenschutzverstößen Schadensersatzforderungen ausgesetzt sähen. Außerdem ist der Schadensersatzanspruch aus Art. 82 DSGVO nicht das einzige Sanktionsinstrument der DSGVO: Neben der Meldung an Aufsichtsbehörden sind Sanktionen und Geldbußen vorgesehen. Die Ziele der Verordnung und ihre Wirkungskraft können also auch auf andere Weise verwirklicht werden. In Betracht käme ein Schadensersatzanspruch bei Bagatellverstößen zur Überzeugung der Kammer allenfalls dann, wenn der Verantwortliche sich durch sein rechtswidriges Verhalten auf Kosten des Betroffenen bereichert hat und er den Verstoß gegen Datenschutzrecht in Kauf nimmt (ähnlich Becker in Plath, DSGVO/BDSG, a.a.O.). Nach diesen Maßstäben ist ein immaterieller Schaden des Klägers nicht erkennbar. Dass die Beklagte den Datenvorfall bewusst veranlasst hätte, um sich dadurch einen finanziellen Vorteil zu verschaffen und zu bereichern, ist offenkundig nicht der Fall. Die Angelegenheit kann für die Beklagte eher geschäftsschädigend sein. Die Beeinträchtigung des Klägers hat im Übrigen nur Bagatellcharakter und rechtfertigt keine Kompensation. Der Kläger hat nicht dargetan und es ist nicht bekannt geworden, dass – mit Ausnahme des Klägervertreters – Dritte seine im Internet zugänglich gewordenen Daten tatsächlich überhaupt zur Kenntnis genommen haben. Ein Identitätsdiebstahl ist daher ebenso wenig ersichtlich wie eine soziale Diskriminierung oder gar ein Eingriff in seine Intimsphäre. Richtig ist zwar, dass der Kläger durch die Zugänglichmachung seiner Daten im Internet während dieser Zeit die Kontrolle über seine Daten nicht vollständig innehatte. Die DSGVO besagt aber nicht, dass jeder Kontrollverlust einen Schaden darstellt, sondern nur, dass dies der Fall sein kann. Da keinerlei unzulässige Nutzung der klägerischen Daten durch Dritte bekannt geworden ist, ist mit dem „Kontrollverlust“ aber keinerlei „öffentliche Bloßstellung“ verbunden, die insoweit auch von den Befürwortern einer Ersatzpflicht bei Bagatellverstößen zumindest verlangt wird (vgl. dazu Nemitz in Ehmann/Selmayr, a.a.O., R. 13). Eine Bloßstellung setzt denknotwendig voraus, dass überhaupt jemand Kenntnis von dem Vorgang erlangt hat. Sofern der Kläger vortragen lässt, aufgrund des Datenvorfalls müsse er eine erhöhte Aufmerksamkeit und Mühe aufbringen, um einem Identitätsdiebstahl, einem Missbrauch der Kreditkartennummer und Pishingversuchen vorzubeugen, begründet das im vorliegenden Fall keine Beeinträchtigung, die über eine Bagatelle hinausgeht. Es ist nicht überzeugend, dass der Kläger einen Missbrauch seiner Kreditkarte tatsächlich ernsthaft befürchtet. Die Kammer ist davon überzeugt, dass er dann längst von dem Angebot Gebrauch gemacht hätte, kostenlos seine Kreditkarte auszutauschen. Freilich müsste er dann bei verschiedenen Diensten, Online-Händlern etc. jeweils seine neue Kreditkartennummer angeben. Diese Tätigkeit fällt aber ohnehin nach Ablauf einer Kreditkarte stets an und kann ohne maßgeblichen Aufwand erledigt werden: Geschäftspartner, Dienste und Onlineanbieter, bei welchen die Kreditkartennummer hinterlegt ist, benachrichtigen ihren Kunden stets von sich aus, wenn und soweit Abbuchungen nicht mehr möglich sind und bitten den Kunden dann um die Mitteilung der neuen Zahlungsdaten. Mit wenigen Mausklicks können diese dann jeweils neu eingegeben werden. Darin kann schlechterdings kein Schaden erkannt werden. Ein Missbrauch der Kreditkartendaten des Klägers dürfte auch höchst unwahrscheinlich sein, weil die Prüfnummer und das Ablaufdatum seiner Karte nicht bekannt wurden. Zwar ist nicht gänzlich auszuschließen, dass alleine mit der Kreditkartennummer Zahlungen getätigt werden, es ist jedoch höchst unwahrscheinlich. Denn ohne Prüfnummer und Ablaufdatum ist es angesichts der mittlerweile gängigen Sicherheitsstandards im Zahlungsverkehr kaum möglich und denkbar, Verfügungen mit einer Kreditkarte zu tätigen. Dass der Kläger selbst nicht damit rechnet, zeigt sich wiederum darin, dass er seine Karte bis heute nicht gesperrt bzw. ausgetauscht hat. Richtig ist, dass wegen des Bekanntwerdens von Name, Anschrift, Geburtsdatum und E-Mail-Adresse die Zusendung unerbetener Werbung möglich ist. Auch Pishing-Versuche sind nicht auszuschließen. Es ist aber in keiner Weise dargelegt worden, dass der Kläger sich dem ausgesetzt sieht. Sofern der Klägervertreter unter Namensnennung anderer Betroffener vorträgt, diese hätten unerwünschte Postsendungen erhalten, verfängt dies freilich nicht. Zum einen ist nicht belegt, dass diese Zusendungen kausal auf den Datenvorfall zurückzuführen sind. Zum anderen würde das nicht bedeuten, dass auch der Kläger derartigen Lästigkeiten ausgesetzt ist. Schließlich vermag auch der Verweis auf „Gefühle der Angst“ (Schriftsatz vom 14.10.2020, Seite 10) einen immateriellen Schaden nicht zu belegen. Die Kammer bezweifelt, dass der Kläger „Angst“ hat. Denn dann hätte er seine Karte sperren lassen. Der Kläger war über das zeitweilige Zugänglichmachen seiner Daten im Internet höchstwahrscheinlich nachvollziehbar verärgert und empört. Das alleine begründet aber keine Schadensersatzpflicht der Beklagten. Ein Schadensersatzanspruch aus anderen Normen, etwa § 280 BGB, § 253 BGB, § 823 Abs. 2 BGB wegen Verletzung des allgemeinen Persönlichkeitsrechts des Klägers oder datenschützender Normen ist ebenfalls ausgeschlossen. Auch diese Regelungen setzten einen Schaden voraus, der gemäß vorstehender Ausführungen nicht erkennbar ist. Antrag zu 4) Der Kläger hat keinen Anspruch auf Feststellung der Schadensersatzpflicht. Möglich wäre nur die Feststellung einer Pflicht zum Ersatz „weiteren“ derzeit nicht bezifferbaren Schadens. Ein Schadensersatzanspruch ist aber ohnehin aus den zu dem Antrag zu 3) genannten Gründen nicht gegeben. Antrag zu 5 a) Ein Anspruch auf Auskunftserteilung aus § 242 BGB über Dauer und Umfang von Rechtsverletzungen ist unbegründet. Da ein Anspruch auf Unterlassung und/oder Schadensersatz gemäß obiger Ausführungen nicht gegeben ist, besteht mangels Leistungsanspruch auch kein Auskunftsanspruch. Antrag zu 5 b) Wegen der Folgen der insoweit übereinstimmend erklärten Erledigung wird auf die Begründung der Kostenentscheidung verwiesen. Antrag zu 6) Der Kläger hat keinen Anspruch auf Ersatz der Abmahnkosten aus Art. 82 DSVO, § 280 BGB oder § 823 As. 2 BGB. Mangels Hauptforderung sind Nebenforderungen nicht begründet. Nebenentscheidungen Die Kostenentscheidung beruht auf § 92 Abs. 2 Nr. 2 ZPO. Bei der Bildung einer einheitlichen Kostenentscheidung war in Bezug auf den übereinstimmend für erledigt erklärten Antrag Ziff. 5b) gemäß der Wertung des § 91a ZPO die Kostentragung unter Berücksichtigung des Sach- und Streitstandes nach billigem Ermessen zu bemessen. Ein Auskunftsanspruch des Klägers folgte zum Zeitpunkt der Klageerhebung aus Art. 15 As. 1 c) DSGVO. Der Name „[…]“ war zwar schon im vorangegangenen vorläufigen Rechtsschutzverfahren von der Beklagten genannt worden. Eine Vereinbarung war dort aber ebenso wenig vorgelegt worden wie eine Präzisierung des Unternehmens. Der Kläger hatte daher zu Beginn dieses Hauptsacheverfahrens einen begründeten Auskunftsanspruch gegen die Beklagte. Dieser ist durch den Vortrag der Beklagten und die Vorlage des Framework Service Agreement erledigt. Die Beklagte hat nach den Grundsätzen des § 91a ZPO insoweit die Kosten zu tragen. Der Auskunftsanspruch aus dem Antrag Ziff. 5 b) ist aber nur mit einem Wert von 250 € zu bemessen, § 3 ZPO. Sofern daraus Mehrkosten resultieren, sind sie geringfügig, § 92 Abs. 2 Nr. 1 ZPO, so dass sie keinen Einfluss auf die vollständige Kostentragung des Klägers haben. Der Ausspruch über die vorläufige Vollstreckbarkeit beruht auf § 709 Satz 1 und 2 ZPO. Gegenstand der Klage bilden Unterlassungs-, Schadensersatz- und Auskunftsansprüche wegen Verstoßes gegen datenschützende Regelungen. Die Beklagte ist eine Tochtergesellschaft der […] und verantwortet den Zahlungsverkehr mit der Kreditkarte […] in Europa. Im Jahr 2018 erschuf sie unter dem Titel „[…]“ ein Bonusprogramm für […] -Karteninhaber. Der Kläger ist Inhaber einer […] Kreditkarte und beteiligte sich an diesem Programm. Es handelte sich dabei um ein Kundenbindungsprogramm, das eine stärkere Nutzung der Kreditkarten unterstützen sollte. Die Teilnehmer des „[…]“-Programms erhielten für jede Transaktion, die sie mir ihrer […] -Zahlungskarte tätigten, Bonuspunkte, sog. Coins. Diese Coins konnten gegen bestimmte Prämien eingelöst werden. Im Mai 2017 hatte die Beklagte die […] GmbH (im Folgenden: „[…]“ oder „[…]“) mit der Erstellung und dem Betrieb einer Programmplattform für das Bonusprogramm beauftragt und ein sog. Framework Service Agreement abgeschlossen (Bl. 154 ff. d. A.). Nach Inkrafttreten der DSGVO wurde im Februar 2018 ein Framework Service Agreement zwischen der Beklagten, der […] und „[…]“ vereinbart (Bl. 176 ff. d. A.). Am 19.07.2019 wies ein anderer Nutzer des Bonusprogramms die Beklagte darauf hin, dass der Verdacht eines Datenmissbrauchs bestehe. Ein weiterer Hinweis erfolgte am 25.7.2019. Am 19.08.2019 kursierte ein Link zu einer Kundenliste der Beklagten auf mehreren Blogs. Angaben zum Namen, der Anschrift, dem Geburtsdatum und der E-Mail-Adresse des Klägers waren zu finden. Nach kurzer Zeit tauchten in Internetforen auch Listen auf, welche darüber hinaus die vollständige Kreditkartennummer vieler Nutzer des „[…]“ Programms enthielten. Die des Klägers war darunter. Die Prüfnummern (CVC) und Ablaufdaten der Kreditkarten waren jedoch nicht verfügbar. Die Listen nahmen nicht auf einander Bezug. Ursache des Datenvorfalls war, dass ein Angreifer über ein Administratorkonto mit voreingestelltem – und nicht geändertem – Initialpasswort auf die […] -Umgebung zugreifen konnte. Die Internetseite des „[…]“ Programms wurde nach dem Datenvorfall deaktiviert. Zumindest am 28.8.2019 war die URL […] aber wieder erreichbar. Die Beklagte kontaktierte die Betreiber von Internetseiten, auf denen die Daten der Kunden veröffentlicht waren und ließ sie entfernen. Sie richtete überdies einen Dienst ein, der überwachte, ob personenbezogene Daten der Kunden angeboten werden. Die Karten der von dem Vorfall betroffenen Kunden wurden im System der Beklagten gekennzeichnet, um einen möglichen Missbrauch schnell erkennen zu können. Darüber hinaus bot die Beklagte ihren Kunden an, deren Kreditkarten auf Kosten der Beklagten auszutauschen. Der Kläger machte davon keinen Gebrauch. Bisher ist kein Missbrauch der klägerischen Daten bekannt geworden. Inzwischen speichert und verarbeitet […] die Daten der Kunden für das Bonusprogramm nicht mehr. Das tut die Beklagte selbst. Die Beklagte entschied sich zudem, das Programm zu beenden. Am 4.6.2020 ließ sie allen Teilnehmern eine Kündigung zukommen. Der Kläger ließ die Beklagte im Oktober 2019 erfolglos zur Abgabe einer strafbewehrten Unterlassungserklärung auffordern und machte zugleich Schadensersatz- und Auskunftsansprüche geltend. Der Kläger behauptet, die Beklagte habe durch die Veröffentlichung seiner Daten gegen Regelungen der Datenschutzgrundverordnung, insbesondere gegen den Grundsatz der Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO verstoßen. Die Beklagte habe die notwendigen Sicherheitsmaßnahmen missachtet, etwa die Vorgaben des PCI DSS (Payment Card Industry Data Security Standard). Außerdem sei anzunehmen, dass die URL […] durchgängig bis zum 28.8.2019 abrufbar war, so dass wiederholt gegen Datenschutzrecht verstoßen worden sei. Die Beklagte habe in vielerlei Hinsicht gegen die DSGVO verstoßen, beispielsweise habe sie den Drittanbieter […] nicht ordnungsgemäß ausgesucht und überwacht. Das Data Processing Agreement sei nicht wirksam und stelle keine Vereinbarung im Sinne des Art. 28 DSGVO dar. Wegen der Vielzahl weiterer vom Kläger vorgebrachter Verstöße wird auf die Zusammenfassung im Schriftsatz vom 7.9.2020, Bl. 227 ff. d. A. verwiesen. Der Kläger ist der Ansicht, ihm stünde nicht nur ein Anspruch auf Unterlassung, sondern auch ein Schadensersatzanspruch gegen die Beklagte zu. Ein immaterieller Schaden sei gegeben. Die Beeinträchtigung des Klägers liege, so behauptet er, in dem Kontrollverlust, andererseits in der erhöhten Aufmerksamkeit, um nach der Veröffentlichung der klägerischen Daten Missbrauch wie einen Identitätsdiebstahl, Missbrauch der Kreditkartennummer und Pishingversuchen vorzubeugen. Dies sei mit viel Zeit und Mühe verbunden: Es müssten Recherchen im Internet durchgeführt werden, um die Verwendung abgeflossener Daten aufzuspüren, ferner das Sperren von Kreditkarten bei diversen Dienstleistern im Rahmen von Zahlungsdiensten und Abonnements, die vermehrte Transaktionskontrolle von Bank- und Guthaben-Konten sowie das Einrichten und der Wechsel von E-Mail-Adressen. Andere vom Datenleck Betroffene hätten bereits eine Vielzahl von Spam-Mails und Identitätsmissbräuchen erfahren. Der Kläger vertritt die Meinung, für die einzelnen Verstöße gegen die DSGVO stünden ihm jeweils einzelne Schadensersatzbeträge zu, die sich insgesamt auf 65.000 € summierten. Nachdem der Kläger zunächst mit einem Antrag zu Ziff. 5b auch Auskunft über die Identität des eingesetzten Dienstleisters verlangt hat, hat er diesen Antrag nach Mitteilung des Namens der Firma […] durch die Beklagte für erledigt erklärt. Die Beklagte hat sich dieser Erledigterklärung angeschlossen. Der Kläger beantragt nunmehr, 1. die Beklagte zu verurteilen, es bei Meidung eines Ordnungsgeldes von bis zu 250.000,00 €, ersatzweise Ordnungshaft, zu vollziehen an den Mitgliedern des Verwaltungsrates, oder Ordnungshaft von bis zu sechs Monaten, zu vollziehen an den Mitgliedern des Verwaltungsrates, zu unterlassen, personenbezogene Daten des Klägers zu verarbeiten und diese zu veröffentlichen oder veröffentlichen zu lassen, wie geschehen bei der Verarbeitung von zur Durchführung des Bonusprogramms „[…]“ eingesetzten Vertragsdaten des Klägers anlässlich dessen Teilnahme am Bonusprogramm der Beklagten im Jahr 2019; 2. hilfsweise zu dem Antrag zu 1., die Beklagte zu verurteilen, es bei Meidung eines Ordnungsgeldes von bis zu 250.000,00 €, ersatzweise Ordnungshaft, zu vollziehen an den Mitgliedern des Verwaltungsrates, oder Ordnungshaft von bis zu sechs Monaten, zu vollziehen an den Mitgliedern des Verwaltungsrates, zu unterlassen, personenbezogene Daten des Klägers zu verarbeiten, ohne risikoadäquate Maßnahmen zum Schutz der Daten gegen ihre nicht durch einen gesetzlichen oder vertraglichen Erlaubnistatbestand gedeckte Veröffentlichung zu ergreifen, wie geschehen bei der Verarbeitung von zur Durchführung des Bonusprogramms „[…]“ eingesetzten Vertragsdaten des Klägers anlässlich dessen Teilnahme an dem Bonusprogram der Beklagten im Jahr 2019; 3. die Beklagte zu verurteilen, an den Kläger einen Betrag in Höhe von 7.500,-- € zuzüglich Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 18. Oktober 2019 zu zahlen; 4. festzustellen, dass die Beklagte verpflichtet ist, dem Kläger den Schaden zu ersetzen, der diesem wegen der Verarbeitung seiner personenbezogenen Daten, die von der Beklagten zwecks Durchführung ihres Bonusprograms mit dem Namen „[…]“ verarbeitet wurden, gemäß Antrag zu 1. hilfsweise zu 2. entstanden ist und künftig entsteht; 5.a die Beklagte zu verurteilen, dem Kläger im Rahmen einer geordneten Aufstellung Auskunft zu erteilen, über Dauer und Umfang der Antrag zu 1. hilfsweise zu 2. genannten Rechtsverletzungen; 5.b nicht belegt 6. die Beklagte zu verurteilen, an den Kläger einen Betrag von 1.029,35 € zuzüglich Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 18. Oktober 2019 zu zahlen. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte behauptet, sie habe den Vorfall bei […] nicht verhindern können. Sie habe alle datenschutzrechtlichen Vorgaben erfüllt und alle geeigneten technischen und organisatorischen Maßnahmen getroffen, um ein hinreichendes Schutzniveau zu gewährleisten. Die für den Programmbetrieb von […] genutzte Anwendungsplattform sei physisch und logisch von den Datenbanken der Beklagten getrennt gewesen. Die bei dem Datenvorfall veröffentlichen Datenlisten hätten keine von der Beklagten erhobenen und anschließend an die […] übermittelten Informationen enthalten. Die Beklagte ist der Ansicht, die Anträge zu 1. und 2. seien nicht hinreichend bestimmt. Es fehle außerdem an einer Wiederholungsgefahr. Auch ein Rechtsschutzbedürfnis liege nicht vor, da der Kläger durch ein Löschungsbegehren nach Art. 17 DSGVO die Verarbeitung seiner Daten auf einfacherem und schnellerem Weg verhindern könne. Schließlich sei das Sanktionsregime der DSGVO abschließend; die Verordnung habe eine Sperrwirkung. Da sie keine Unterlassungsansprüche enthalte, seien andere Unterlassungsansprüche ausgeschlossen. Ein Schadenersatzanspruch des Klägers scheitere unter anderem daran, dass die behaupteten Verstöße gegen Datenschutzrecht nicht kausal für einen Schaden des Klägers seien. Zudem sei ein materieller oder immaterieller Schaden nicht erkennbar. Wegen des weiteren Vortrags und der geäußerten Rechtsansichten wird auf die gewechselten Schriftsätze beider Parteien nebst Anlagen Bezug genommen.