325 O 22/24

Es wird festgestellt, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks ” I!” unter dem Benutzernamen "d." der Beklagten die Speicherung und anschließende Verwendung von folgenden mit Hilfe der M. B. T. erfassten personenbezogenen Daten nicht gestattet: auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klägerin, ob direkt oder in gehashter Form übertragen, d. h. - E-Mail der Klägerin - Telefonnummer der Klägerin - Vorname der Klägerin - Nachname der Klägerin - Geburtsdatum der Klägerin - Geschlecht der Klägerin - Externe IDs anderer Werbetreibender (von der M. Ltd. "external_ID” genannt) - IP-Adresse des Clients - User-Agent des Clients (d. h. gesammelte Browserinformationen) - interne Klick-ID der M. Ltd. - interne Browser-ID der M. Ltd. - Abonnement-ID - Lead-ID - anon_id - die Advertising ID des Betriebssystems Android (von der M. Ltd. "madid" genannt) - Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, die folgenden mit Hilfe der M. Business Tools auf Drittseiten und –Apps außerhalb der Netzwerke der Beklagten erfassten personenbezogenen Daten zu speichern und anschließend zu verwenden: auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klägerin, ob direkt oder in gehashter Form übertragen, d. h. - E-Mail der Klägerin - Telefonnummer der Klägerin - Vorname der Klägerin - Nachname der Klägerin - Geburtsdatum der Klägerin - Geschlecht der Klägerin - Externe IDs anderer Werbetreibender (von der M. Ltd. "external_ID” genannt) - IP-Adresse des Clients - User-Agent des Clients (d. h. gesammelte Browserinformationen) - interne Klick-ID der M. Ltd. - interne Browser-ID der M. Ltd. - Abonnement-ID - Lead-ID - anon_id - die Advertising ID des Betriebssystems Android (von der M. Ltd. "madid" genannt) Gleiches gilt für die Erfassung der oben genannten Daten mittels der M. Business Tools und deren Weiterleitung, sofern die Klägerin dem Drittbetreiber hierzu keine Einwilligung erteilt hat. - Die Beklagte wird verurteilt, die über die aktuelle Speicherung hinausgehende Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO sämtliche oben aufgeführte seit dem 25.05.2918 von der Beklagten verarbeiteten personenbezogenen Daten bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, bis zur Erfüllung des Löschungsanspruchs nach rechtskräftigem Abschluss des Verfahrens zu unterlassen, insbesondere diese nicht an Dritte zu übermitteln. - Die Beklagte wird verurteilt, sämtliche oben genannten seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten der Klägerin einen Monat nach rechtskräftigem Abschluss des Verfahrens vollständig zu löschen und der Klägerin die Löschung zu bestätigen sowie sämtliche der seit dem 25.05.2018 bereits gespeicherten folgenden personenbezogenen Daten auf Webseiten - die URLs der Webseiten samt ihrer Unterseiten - der Zeitpunkt des Besuchs - der "Referrer" (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist), - die von der Klagepartei auf der Webseite angeklickten Buttons sowie - weitere von der Beklagten "Events" genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren in mobilen Dritt-Apps - der Name der App sowie - der Zeitpunkt des Besuchs - die von der Klagepartei in der App angeklickten Buttons sowie - die von der Beklagten "Events" genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen. - Die Beklagte wird verurteilt, an die Klägerin 3.000,00 Euro nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz p.a. seit dem 6.3.2024 zu zahlen. - Die Beklagte wird verurteilt, die Klägerin von vorgerichtlichen Rechtsanwaltskosten in Höhe von 713,76 € freizustellen. - Im Übrigen wird die Klage abgewiesen. - Die Kosten des Rechtsstreits trägt die Klägerin zu 36 %, die Beklagte zu 64 %. - Das Urteil ist vorläufig vollstreckbar, für die Klägerin hinsichtlich der Entscheidungen zu I. und II. jedoch nur gegen Sicherheit in Höhe von je 3.000 €, hinsichtlich der Entscheidung zu III. und IV. gegen Sicherheitsleistung in Höhe von jeweils 500 €, im Übrigen gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags. Die Klägerin kann die vorläufige Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des nach dem Urteil vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrags leistet. Beschluss Der Streitwert wird auf 11.000 € festgesetzt. I. Der Klagantrag zu 1. ist teilweise erfolgreich. 1. Der Antrag ist weitgehend zulässig. Dabei kann dahinstehen, ob der Klägerin ein Feststellungsinteresse nach § 256 Abs. 1 ZPO zusteht. Die Zulässigkeit des Klagantrags zu 1. folgt jedenfalls aus § 256 Abs. 2 ZPO. a) Nach dieser Bestimmung kann eine Partei beantragten, dass ein im Laufe des Prozesses streitig gewordenes Rechtsverhältnis, von dessen Bestehen oder Nichtbestehen die Entscheidung des Rechtsstreits ganz oder zum Teil abhängt, durch richterliche Entscheidung festzustellen. Die Bestimmung gilt über den Wortlaut hinaus auch für Rechtsverhältnisse, die bereits zu Beginn des Prozesses streitig sind (Zöller/Greger, ZPO, 35. Aufl., § 256 ZPO Rn. 38). Das hat zur Folge, dass die Zwischenfeststellungsklage nach § 256 Abs. 2 ZPO zusammen mit der Hauptklage eingereicht werden kann (Zöller/Greger, ZPO, 35. Aufl., § 256 ZPO Rn. 42). b) Voraussetzung für die Zulässigkeit einer Zwischenfeststellungsklage nach § 256 Abs. 2 ZPO ist, dass eine der übrigen im Prozess zu treffenden Entscheidungen vom Bestehen oder Nichtbestehen eines Rechtsverhältnisses abhängt. Rechtsverhältnis im Sinn dieser Bestimmung ist jede aus einem konkreten Lebenssachverhalt resultierende Beziehung, aus der ein subjektives Recht entspringen kann. Die Frage der Zulässigkeit der Speicherung von Daten der Klägerin bildet ein solches Rechtsverhältnis. Sie ist zur Entscheidung über die weiteren Klaganträge zu prüfen, weil es sich um eine immer wieder auftretende Vorfrage handelt, von der eine stattgebende Entscheidung über die anderen Klaganträge abhängt. c) Dass die Klägerin ihren Antrag auf die Feststellung beschränkt, dass das zwischen ihr und der Beklagten bestehende Vertragsverhältnis eine Speicherung ihrer Daten nicht rechtfertige, steht der Zulässigkeit des Antrags nicht entgegen. Zwar bleibt es selbst dann, wenn der Feststellungsantrag bejaht wird, denkbar, dass die Speicherung aufgrund anderer Umstände, z.B. behördlicher Vorgaben rechtmäßig ist. Dennoch stellt die Fragestellung, ob sich eine Rechtfertigung aus dem Vertragsverhältnis der Parteien ergibt, einen wesentlichen Gesichtspunkt für die Prüfung der Rechtmäßigkeit der Datenspeicherung dar. So führt die Beklagte hinsichtlich der Speicherung der Daten zum Zweck des Angebotes zielgerichteter Werbung aus, dass sie dies nur im Fall einer Einwilligung des Nutzers, die Bestandteil der vertraglichen Vereinbarungen wäre, vornehme. Das Gericht muss sich daher bei der Beurteilung der übrigen Klaganträge jeweils unter anderem mit der Fragestellung auseinandersetzen, ob der Beklagten aufgrund der vertraglichen Beziehung der Parteien eine Speicherung der Daten gestattet ist. d) Weitere ungeschriebene Voraussetzung für die Zulässigkeit einer Zwischenfeststellungsklage ist eine über den Streitgegenstand hinausgehende Bedeutung (Zöller/Greger, ZPO, 35. Aufl., § 256 ZPO Rn. 40). Es muss also zumindest die Möglichkeit bestehen, dass das festzustellende Rechtsverhältnis noch für künftige Streitigkeiten relevant ist. Das ist hier der Fall. So ist denkbar, dass die Klägerin später eine weitere Klage, auf Ersatz ihr künftig entstehender Schäden erhebt, in der es erneut darauf ankommen wird, ob die Beklagte zur Speicherung ihrer Daten befugt ist. e) Ein weitergehendes Feststellungsinteresse wie es für eine Klage nach § 256 Abs. 1 ZPO benötigt wird, ist im Fall des § 256 Abs. 2 ZPO nicht erforderlich. Allerdings fehlt es an einem Rechtsschutzbedürfnis, soweit der Feststellungsantrag sich auf die Erfassung und Weiterleitung der Daten bei den Drittbetreibern bezieht. Richtig ist zwar, dass die Beklagte als Verantwortliche für die Herstellung der M. Business Tools, welche zur Datenerhebung eingesetzt wird, zusammen mit den Website- oder App-Betreibern, die diese Tools einsetzen, für die durch die Tools erfolgende Datenspeicherung verantwortlich ist (EuGH, Urt. v. 29.7.2019 – C-40/17, NJW 2019, 2755, Rn. 65 ff, 81). Die Beklagte wird von dieser gemeinsamen Verantwortlichkeit auch nicht dadurch frei, dass sie dem Betreiber der Website oder der App auferlegt, die Einwilligung der Nutzer seines Angebots für die Weiterleitung von Daten an die Beklagte einzuholen. Denn auch wenn der Abschluss einer Vereinbarung in Art. 26 Abs. 1 DSGVO gefordert wird, sieht Art. 26 Abs. 3 DSGVO vor, dass jeder der Verantwortlichen trotz des Abschlusses einer solchen Vereinbarung für Verstöße verantwortlich bleibt. Es fehlt jedoch insofern an einem streitigen Rechtsverhältnis. Denn beide Parteien gehen übereinstimmend davon aus, dass eine Erfassung und Weiterleitung der Daten auf der Website oder in der App eines Drittanbieters dann rechtswidrig ist, wenn die in der Vereinbarung der Beklagten mit dem Drittanbieter vorgesehene Einwilligung nicht eingeholt wird. 2. Die vom Klagantrag zu 1) erfasste Datenverarbeitung der Beklagten ist, soweit der Antrag zulässig ist, nicht gemäß der Vertragsbeziehung gerechtfertigt. Die begehrte Feststellung ist daher in Bezug auf das Speichern und Weiterverarbeiten der Daten der Klägerin bei der Beklagten auszusprechen. a) Die Beklagte verarbeitet über die M.-Business-Tools gewonnene Daten auch ohne eine Einwilligung des Nutzers, die sie ohnehin nur für die Verwendung zur personalisierten Werbung einholt. Sie räumt selbst ein, dass sie die von ihr als Off-Site-Daten bezeichnete Daten für Sicherheits- und Integritätszwecke speichere und verwende. Ungeachtet dessen, dass aus den Erläuterungen der Beklagten nicht hervorgeht, welche Maßnahmen damit bezeichnet sind und weshalb und in welchem Umfang dafür eine Verwendung der Daten der Klägerin erforderlich ist, gibt es nach den Ausführungen der Beklagten offenbar auch noch weitere Verwendungen. Denn die Formulierung, dass sie die erhobenen Daten "für eingeschränkte Zwecke wie Sicherheits- und Integritätszwecke verwende" (Hervorhebung hier) zeigt, dass die genannten Zwecke nur beispielhaft aufgezählt sind. Im Übrigen folgt auch daraus, dass die Beklagte einem Nutzer die Möglichkeit eröffnet, seine Off-Site-Daten von seinem M.-Konto zu trennen, dass die Beklagte die Off-Site-Daten nicht löscht, auch wenn der Nutzer mit deren Nutzung für personalisierte Werbung nicht einverstanden ist. Schließlich weist die Beklagte auch darauf hin, dass die Nutzung der Off-Site-Daten "maßgeblich" von den vom Nutzer getroffenen Einstellungen abhänge, was ebenfalls zeigt, dass diese nicht für alle Verwendungen relevant sind. Die Verantwortlichkeit für die Verwendung der Daten liegt, nachdem sie an die Beklagte übermittelt wurden, auch ausschließlich bei dieser. Eine gemeinsame Verantwortlichkeit mit dem Unternehmen, auf dessen Seite die Daten gewonnen wurde, besteht nur bis zur Übermittlung (EuGH, Urt. v. 29.7.2019 – C-40/17, NJW 2019, 2755, Rn. 85). b) Die Klage ist nicht, wie von der Beklagten wiederholt vorgetragen, auf die Verwendung von Daten zur Bereitstellung personalisierter Werbung beschränkt. Eine solche Einschränkung enthalten die Klaganträge nicht. Die Klägerin hat seit Beginn des Verfahrens klargestellt, dass sie sich gegen jede Verarbeitung ihrer über die Business Tools gewonnener personenbezogenen Daten wendet. Ausdrücklich hat sie dies noch einmal im Schriftsatz vom 31.12.2024 erklärt, in dem es heißt "Die Klägerin möchte, dass die Beklagte bereits die Erhebung und Erfassung (d.h. die Erstverarbeitung) seiner personenbezogenen Daten durch die Software "M. Business Tools" vollständig unterlässt." Werbung erwähnt die Klägerin nur im Zusammenhang mit der Finanzierung des Geschäftsmodells der Beklagten, ohne dass sich daraus irgendein Anhalt ergeben würde, dass sich ihr Anliegen auf den Bereich der Werbung beschränkt. Es bestand auch kein Anlass für die Klägerin, die Zwecke zu konkretisieren, zu denen die Beklagte möglicherweise ihre personenbezogenen Daten verwendet. Vielmehr liegt die Darlegungs- und Beweislast dafür, dass sie die personenbezogenen Daten der Klägerin nach den Vorgaben der DSGVO verarbeitet hat, bei der Beklagten. Diese hat deshalb auch vollständig zu den Zwecken vorzutragen, für die sie die Daten verarbeitet. Die Erklärung der Beklagten, dass sie Off-Site-Daten zu anderen Zwecken als für personalisierte Werbung nur entsprechend ihrer Datenschutzrichtlinie verwende, ersetzt ein prozessuales Vorbringen zu diesen Zwecken und der Rechtmäßigkeit der Verwendung nicht, zumal die Datenschutzrichtlinie selbst kein hinreichendes Vorbringen zur Rechtfertigung der Verarbeitung enthält. c) Zur Prüfung der Rechtmäßigkeit der von der Beklagten vorgenommenen Datenspeicherung und –verarbeitung ist es nicht erforderlich, dass die Klägerin konkrete Webseiten oder Apps angibt, die sie besucht bzw. verwendet hat. Ein derartiges Vorbringen ist schon für die Internetnutzung der Klägerin in der Vergangenheit nicht sinnvoll, da sie ohnehin nicht weiß, auf welchen Seiten bzw. in welchen Apps die M. Business Tools zum Einsatz kommen. Von der Klägerin kann auch nicht erwartet werden, dass sie dies in Erfahrung bringt, da die neueren Business Tools unstreitig nicht mehr in einer Weise in den Quellcode der Webseiten eingebunden sind, dass ein fachkundiger Nutzer deren Einsatz erkennen könnte. Zudem ist es bei regelmäßiger Nutzung des Internets nahezu unmöglich zusammenzustellen, welche Internetseiten man in der Vergangenheit besucht hat. Erst recht gilt für die künftige Internetnutzung der Klägerin, dass eine Auflistung konkreter Seiten nicht erwartet werden kann. Sowohl der Feststellungsantrag wie auch der Unterlassungsantrag betreffen auch künftige Verletzungen der Rechte der Klägerin aus der Datenschutzgrundverordnung. Naturgemäß ist es der Klägerin aber nicht möglich darzulegen, welche Webseiten sie in der Zukunft besuchen wird, zumal diese heute teilweise noch gar nicht existieren werden. Im Übrigen kommt es für das Bedürfnis, die Rechtswidrigkeit der Datenverarbeitung der Beklagten feststellen zu lassen, auch nicht darauf an, welche Webseiten die Klägerin besucht hat oder besuchen wird. Denn die Klägerin kann, seitdem sie von der Funktion der M. Business Tools weiß, auch bewusst davon abgesehen haben bzw. künftig absehen, Webseiten aufzurufen, weil sie nicht möchte, dass ihr Interesse an dieser Webseite der Beklagten bekannt wird (vgl. dazu den Hinweis des EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 72 nach juris, dass schon der Aufruf einer Webseite Informationen über den Internetnutzer preisgibt). Würde man von der Klägerin erwarten, dass sie in einem Gerichtsverfahren ausführt, welche Webseiten sie ohne die Gefahr einer Überwachung durch ein M. Business Tool aufrufen würde, so zwänge man sie, die Daten preiszugeben, zu deren Geheimhaltung sie den Rechtsstreit führt. Auch ohne genauere Informationen über die Internetnutzung des Klägerin ist davon auszugehen, dass sie von der Datenspeicherung und –verarbeitung über die M. Business Tools betroffen ist. Der Klägerin kommt dabei der Rechtsgedanke zugute, mit dem das Bundesverfassungsgericht bei geheimdienstlichen Überwachungsmaßnahmen eine Betroffenheit des dortigen Klägers ohne weitere Darlegung annahm. Das Bundesverfassungsgericht ging davon aus, dass es bei Rechtsakten, bei denen der Betroffene nicht von der Vollziehung erfährt, ausreichend sei, wenn dieser darlege, mit einiger Wahrscheinlichkeit von der Maßnahme in eigenen Grundrechten berührt zu werden. Hiervon sei auszugehen, wenn die Maßnahme eine große Streubreite aufweise und nicht auf einen tatbestandlich eng umgrenzten Personenkreis ziele (BVerfG, Beschluss v. 8.10.2024 – 1 BvR 1743/16, 1 BvR 2539/16, EuGRZ 2025, 118, Rn. 89 nach juris). Die Datenerfassung durch die M. Business Tool zielt nicht auf einen eng umgrenzten Personenkreis, was sich bereits aus den von der Klägerin eingereichten Listen der deutschsprachigen Webseiten ergibt, die den M. Pixel, also eines der Business Tools, einsetzen (Anlagen K2, K14), denen die Beklagte nicht entgegengetreten ist. Die darin genannten Webseiten betreffen ganz unterschiedliche denkbare Nutzungen des Internets. Andere Tools, die für Dritte nicht erkennbar sind, sorgen möglicherweise sogar noch für eine weitergehende Verbreitung der Datenerfassung. Dafür dass die Klägerin hiervon betroffen ist, spricht schon, dass sie das Internet nutzt, was sich daraus herleiten lässt, dass sie sich einen I!-Account zugelegt hat. Dass die Klägerin nichts über die von ihr besuchten Webseiten vortragen muss, beschränkt die Beklagte nicht unzumutbar in ihren Verteidigungsmöglichkeiten. Schließlich könnte sie dazu vortragen und unter Beweis stellen, wenn die Klägerin entgegen aller Wahrscheinlichkeit von der Datenerfassung durch die M. Business Tools überhaupt nicht betroffen wäre. d) Die an die Beklagte übermittelten Daten bleiben auch dann personenbezogen, wenn die Beklagte gemäß 2 (a) (i) (ii) ihrer Geschäftsbedingungen die Kontaktinformationen, die ihr übermittelt wurden, nach kurzer Zeit löscht. Denn diese Löschung erfolgt nach dem Abgleichprozess, d.h. nachdem sie die mit den Kontaktinformationen übermittelten Event-Daten mit einer Facebook-Nutzer-ID verknüpft hat, so dass eine Zuordnung zur Klägerin möglich bleibt. e) Die Speicherung und Weiterverarbeitung der personenbezogenen Daten der Klägerin ist nicht nach dem Vertragsverhältnis gerechtfertigt. Die Beklagte hat nicht dargelegt, dass einer der hierauf abstellenden Rechtfertigungsgründe (Art. 6 Abs. 1 Unterabs. 1 a) oder b) DSGVO) eingreift. aa) Eine Einwilligung der Klägerin zur Speicherung und Verarbeitung von Off-Site-Daten, die eine Verarbeitung nach Art. 6 Abs. 1 Unterabsatz 1 a) DSGVO rechtfertigen könnte, wurde nicht erteilt, insbesondere hat die Klägerin der Verwendung dieser Daten zur Erstellung zielgerichteter Werbung nicht zugestimmt. Dass die Beklagte für die Datenerhebung nicht allein auf die Einwilligung der Nutzer setzt, zeigt auch schon der Umstand, dass sie die Conversions API, also ein neueres Business Tool damit bewirbt, dass diese auch dann Daten erfassen kann, wenn der Nutzer dies durch technische Vorkehrungen zu vermeiden versucht (Anlage K12). bb) Die Datenverarbeitung ist auch nicht zur Erfüllung eines Vertrags nach Art. 6 Abs. 1 Unterabsatz 1 b) DSGVO erforderlich. Das Geschäftsmodell der Beklagten zwingt diese nicht, die angebotenen Inhalte zu personalisieren (EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 102 nach juris). Erst recht gilt dies für eine Personalisierung anhand der hier allein streitgegenständlichen Off-Site-Daten, denn die Klägerin beanstandet ja nicht, dass ihr Inhalte und ggf. auch Werbung auf der Grundlage der von ihr besuchten M.-Seiten vorgeschlagen werden. cc) Die weiteren grundsätzlich denkbaren Rechtfertigungsgründe aus Art. 6 Abs. 1 Unterabs. 1 e) und f) würden sich nicht aus dem Vertragsverhältnis der Parteien ergeben und sind daher nicht Gegenstand des Feststellungsantrags, so dass an dieser Stelle offenbleiben kann, ob sich hieraus eine Rechtfertigung der Speicherung und Verarbeitung der Daten herleiten lässt. f) Die Klägerin beanstandet weitgehend zutreffend die Rechtswidrigkeit der Speicherung und Verarbeitung der von ihr bezeichneten Datenpunkte. Zu unbestimmt ist allein die Angabe "Ort der Klagepartei". Diese lässt nicht erkennen, ob es der Klägerin darum geht, dass ihr Aufenthaltsort zum Zeitpunkt des Aufrufs einer Drittbetreiberwebseite, also ihre aktuellen Geodaten, nicht erfasst werden sollen oder ihre Anschrift, die sie möglicherweise auf der Drittbetreiberwebseite eingeben muss. Zurecht wendet sich die Klägerin hingegen gegen die Speicherung der IP-Adresse und des User-Agent. Dabei verkennt das Gericht nicht, dass die Übermittlung dieser Daten an die Beklagte im Rahmen einer http-Anfrage zwingend ist, wenn der Betreiber einer Drittwebseite Inhalte der Beklagten einbettet und sei es nur in Form des M.-Pixels. Dies rechtfertigt aber nur die Speicherung dieser Daten, solange dies für den Aufbau der Webseite durch den von der Klägerin verwendeten Browser erforderlich ist. Um diese Speicherung der zur Einbindung des Business Tools benötigten Daten geht es der Klägerin aber nicht. Der Klagantrag umfasst nur mittels des Business Tools erfasste Daten. Dafür dass eine auf diese Weise durch das Business Tool gespeicherte IP-Adresse von der Beklagten gespeichert und verarbeitet werden muss, ist keine Rechtfertigung ersichtlich. Vielmehr führt eine solche Speicherung zur Unzulässigkeit des Einsatzes eines im Übrigen zulässigen Web-Analyse-Tools (Spinder/Schuster/Nink, 4. Aufl. 2019, DS-GVO Art. 28 Rn. 11). Hinsichtlich der mit den Klaganträgen zu 1b) und 1c) genannten Daten kann das Gericht die fehlende Rechtfertigung der Speicherung und Verarbeitung in der beantragten Form nicht feststellen. Denn diese Daten sind für sich genommen keine personenbezogenen Daten. Vielmehr handelt es sich um die Daten, die zweckmäßigerweise von einem Analyse-Tool T. erfasst werden. Dies ist im Fall der Anonymisierung rechtmäßig, weil die Datenschutzgesetze auf einen solchen Vorgang nicht anwendbar sind (Spinder/Schuster/Nink, 4. Aufl. 2019, DS-GVO Art. 28 Rn. 11). Personenbezogen würden diese Daten erst dadurch, dass sie zusammen mit den unter dem Klagantrag 1a) genannten Daten der Klägerin gespeichert werden. Dies sieht die Klägerin offenbar auch so, weil sie mit dem Klagantrag zu 4. (nur) eine Anonymisierung dieser Daten verlangt. g) Die schriftsätzlich begehrte Feststellung, dass der Nutzungsvertrag auch bei Änderung der AGB der Beklagten eine Speicherung der Daten nicht erlauben würde, ist nicht zu treffen. Zum einen ist dies vom Wortlaut des Antrags, an den das Gericht nach § 308 ZPO gebunden ist, nicht umfasst. Im Übrigen handelt es sich auch um eine hypothetische Frage, die nicht Gegenstand eines Feststellungsantrags sein kann. II. Der Klagantrag zu 2. ist ebenfalls teilweise erfolgreich. 1. Der Antrag ist zulässig. a) Eine vorbeugende Unterlassungsklage ist im Anwendungsbereich der DSGVO möglich (BeckOK DatenschutzR/Quaas, 51. Ed. 1.2.2025, DS-GVO Art. 82 Rn. 9; Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 79 Rn. 17; Ehmann/Selmayr/Nemitz, 3. Aufl. 2024, DS-GVO Art. 79 Rn. 17). Dem steht nicht entgegen, dass die Datenschutzgrundverordnung der Harmonisierung des Datenschutzes in den Mitgliedsstaaten dient. Die DSGVO verfolgt schon gar nicht das Ziel einer Vollharmonisierung, was sich daran zeigt, dass sie viele Öffnungsklauseln enthält, die dem nationalen Gesetzgeber einen eigenen Handlungsspielraum verschaffen (Schlussanträge des Generalanwalts vom 2.12.2021- C-319/20, Rn. 50 ff.). Daneben spricht gegen eine Sperrwirkung der DSGVO, dass diese das Ziel eines effektiven Rechtsschutzes verfolgt (BeckOK DatenschutzR/Quaas, 51. Ed. 1.2.2025, DS-GVO Art. 82 Rn. 9; Ehmann/Selmayr/Nemitz, 3. Aufl. 2024, DS-GVO Art. 79 Rn. 17). Zu berücksichtigen ist ferner, dass die Zulassung eines vorbeugenden Unterlassungsanspruchs die objektive Rechtslage nicht ändert. Denn die Beklagte wäre, wie sie selbst einräumt (Schriftsatz vom 26.6.2024, Rn. 115), auch ohne Unterlassungstitel zur künftigen Einhaltung der Vorgaben der DSGVO verpflichtet. Der Unterlassungsanspruch begründet nur eine Möglichkeit des Betroffenen, diese objektiv-rechtliche Verpflichtung selbst gerichtlich geltend zu machen. Dass ihr diese Möglichkeit nach der DSGVO zu eröffnen ist, ergibt sich aus Art. 79 DSGVO, der festlegt, dass die Mitgliedsstaaten wirksame gerichtliche Rechtsbehelfe gegen Datenschutzverletzungen vorsehen müssen. Wirksam ist ein solcher Rechtsbehelf aber gerade bei erheblichen Datenschutzverstößen nur dann, wenn der Betroffene auch einer drohenden Verletzung vorbeugen bzw. einer wiederholten Verletzung entgegenwirken kann (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 79 Rn. 17). Ob eine Unterlassungsklage, die dem Rechtsschutzbegehren der Klägerin entspricht, daneben auch auf eine entsprechende Anwendung von Art. 17 DSGVO gestützt werden kann (so BGH, Urt. v. 27.7.2020 – VI ZR 405/18, BGHZ 226, 285, Rn. 17 nach juris; MüKoBGB/Rixecker, 10. Aufl. 2025, BGB Anh. § 12 Rn. 305), ist fraglich, da es der Klägerin nicht wie in den Entscheidungen des Bundesgerichtshofs, in denen ein solcher Anspruch entwickelt wurde, um eine dauerhafte Auslistung geht, also darum, dass gelöschte Daten nicht zu einem späteren Zeitpunkt wieder in ein Verzeichnis aufgenommen werden, sondern darum, dass die Beklagten künftig keine neuen personenbezogenen Daten der Klägerin speichert (die ganz andere Daten sein können, als die zuvor gespeicherten Daten). Letztlich kann dies aber dahinstehen, da die Voraussetzungen eines solchen ungeregelten Anspruchs denjenigen des nationalen Rechts nachgebildet werden müssten (BGH Vorlagebeschluss v. 26.9.2023 – VI ZR 97/22, Rn. 26 nach juris). b) Das Rechtsschutzbedürfnis ergibt sich zum einen unter dem Gesichtspunkt einer Wiederholungsgefahr aufgrund der bisherigen Praxis der Datenverarbeitung; selbst ohne eine solche vergangene Rechtsverletzung würde sich aber die Gefahr der Erstbegehung aus der unstreitigen Funktionsweise der M. Business Tools und den Angaben der Beklagten zur Verwendung von Daten von Drittbetreibern in ihren Schriftsätzen und ihrer Datenschutzrichtlinie ergeben. c) Der Antrag auch nicht zu unbestimmt. Es obliegt nicht der Klägerin, einen bestimmten Verwendungszweck anzugeben, den sie beanstandet. Vielmehr kann sie, wie hier geschehen, sich allgemein gegen die Speicherung und Verarbeitung ihrer Daten wenden. 2. Die Klägerin kann nach § 1004 Abs. 1 Satz 2 BGB analog die begehrte Unterlassung geltend machen. a) Eine rechtswidrige Speicherung und Verarbeitung personenbezogener Daten stellt einen Verstoß gegen das Allgemeine Persönlichkeitsrecht in Form des Rechts auf Informationelle Selbstbestimmung dar. Die Speicherung und Verarbeitung der Daten ist nicht durch einen Rechtfertigungsgrund nach Art. 6 DSGVO gedeckt. Hinsichtlich der Rechtfertigungsgründe der Art. 6 Abs. 1 Unterabs. 1 a) und b) DSGVO kann auf die Ausführungen unter I. verwiesen werden. aa) Die Speicherung und Verarbeitung lässt sich auch nicht auf die Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten nach Art. 6 Absatz 1 Unterabsatz 1 f) stützen. Der Europäische Gerichtshof weist zutreffend darauf hin, dass die stichwortartige Angabe von möglichen Interessen nicht ausreicht, um darzulegen, dass die Datenverarbeitung zur Wahrung berechtigter Interessen erforderlich ist (EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 114 nach juris). Nach diesem Maßstab fehlt es auch hier an einer Erläuterung eines Erfordernisses. Soweit die Beklagte angibt, dass die Speicherung dazu diene, die Funktionalität und Sicherheit des Internets zu verbessern, ist dieser Rechtfertigungsgrund in seiner Zielrichtung und Bedeutung für die Datenverarbeitung unklar. Sollte es der Beklagten damit darum gehen, die Sicherheit der Internetnutzer zu erhöhen, indem Daten zum Beispiel zur Betrugsbekämpfung gespeichert werden, stellt dieses das Ziel einer Information der Strafverfolgungsbehörden, um Straftaten zu verhindern, aufzudecken und verfolgen, kein Interesse im Sinn des Art. 6 Abs. 1 Unterabsatz 1 f) dar (EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 124 nach juris). Anders wäre dies nur, wenn die Beklagte durch gesetzliche Vorgaben zur Speicherung bestimmter Daten verpflichtet wäre. Dies ist jedoch nicht dargelegt. Es wäre auch kaum vorstellbar, dass der Gesetzgeber die Beklagte zur Speicherung von Daten verpflichtet, die von Drittanbieterseiten stammen. Auch der Versuch einer Rechtfertigung der Datenspeicherung mit dem Schutz der Sicherheit und Integrität der Server ist nicht nachvollziehbar. Die Beklagte bezieht sich dabei auf die Gefahr eines Denial-of-Service-Angriffs. Es ist aber nicht ersichtlich, wie die von den M.-Business-Tools auf Drittbetreiberseiten gespeicherten Daten dazu helfen sollen, einen solchen Angriff zu unterbinden und was für Daten die Beklagte zu diesem Zweck verarbeitet. Schließlich stellt auch der im Schriftsatz vom 23.1.2025 auf Seite 17 ff. wiedergegebene Auszug aus der Datenschutzrichtlinie keine hinreichende Erklärung dar, dass es für die Beklagte erforderlich ist, Off-Site-Daten zur Wahrung berechtigter Interessen zu speichern. bb) Die Beklagte hat auch nicht aufzeigt, dass ihre Datenverarbeitung zur Verfügung von Aufgaben im öffentlichen Interesse im Sinn des Art. 6 Abs. 1 Unterabs. 1 e) DSGVO erforderlich wäre. Sie erwähnt zu diesem Zweck nur Forschungstätigkeit. Diese Angabe ist jedoch ebenfalls zu abstrakt, um dem Gericht eine Prüfung der Rechtfertigung zu ermöglichen, insbesondere in Bezug auf die hier streitgegenständliche Verarbeitung von Off-Site-Daten. b) Ein Unterlassungsanspruch besteht auch insofern, wie personenbezogene Daten ohne eine Einwilligung der Klägerin auf Webseiten oder in Apps von Dritten durch die M.-Business Tools erfasst werden. Eine Begehungsgefahr ergibt sich aus der Darstellung der Klägerin, der die Beklagte nicht entgegengetreten ist, dass diese Business-Tools zumindest auf einigen Seiten so zum Einsatz kommen, dass eine Übermittlung personenbezogener Daten bereits zu einem Zeitpunkt erfolgt, an dem der Nutzer noch keine Entscheidung über eine Einwilligung treffen konnte (Schriftsatz vom 30.12.2024, Seite 28). Eine individuelle Betroffenheit von einem solchen Vorgang braucht die Klägerin nach den zitierten Erwägungen des Bundesverfassungsgerichts nicht dazulegen. Die Mitverantwortlichkeit der Beklagten für den Verstoß ergibt sich aus Art. 26 Abs. 3 DSGVO. III. Der Klagantrag zu 3. hat Erfolg. 1. Der Unterlassungsantrag ist wie oben dargestellt im Anwendungsbereich der DSGVO statthaft. Die Begehungsgefahr für eine fortgesetzte Verwendung der bei der Beklagten gespeicherten Daten folgt aus den Angaben in der Datenschutzrichtlinie, die eine Verarbeitung der Daten und ggf. auch eine Weitergabe an Dritte vorsehen. 2. Der Klägerin steht der begehrte Anspruch zu. a) Dabei kann dahinstehen, ob mit der Antragsfassung, die jede "über die aktuelle Speicherung hinausgehende Verarbeitung" verbietet, neben der ausdrücklich begehrten Unterlassung auch eine Leistung, nämlich eine Speicherung der Daten für einen bestimmten Zeitraum verlangt wird. Denn selbst wenn dies so wäre, könnte die Klägerin eine solche Speicherung nach Art. 6 DSGVO beanspruchen. Eine Verarbeitung im Sinn dieser Vorschrift stellt nach Art. 4 Nr. 2 DSGVO nämlich unter anderem auch das Löschen oder die Vernichtung von Daten dar. Die Beklagte benötigt daher für ein Löschen der bei ihr gespeicherten personenbezogenen Daten eine Rechtfertigung im Sinn des Art. 6 DSGVO. Für das Bestehen einer solchen Rechtfertigung ist sie darlegungsbelastet, hat aber dazu nichts vorgetragen. b) Zur Begründetheit des Unterlassungsbegehrens kann auf die obigen Ausführungen verwiesen werden. Die Klägerin kann auch hinsichtlich derjenigen Daten, die die Beklagte zu einem Zeitpunkt erfasst hat, als ihr eine Einwilligung der Klägerin vorlag, nach Widerruf dieser Einwilligung die weitere Verarbeitung untersagen (Sydow/Marsch DS-GVO/BDSG/Ingold, 3. Aufl. 2022, DS GVO Art. 7 Rn. 48). IV. Auch der Klagantrag zu 4. ist erfolgreich. 1. Der Antrag ist zulässig. a) Die Möglichkeit zu einer Verurteilung zur zukünftigen Leistung ergibt sich aus § 259 ZPO. Sie setzt voraus, dass den Umständen nach die Besorgnis gerechtfertigt ist, dass sich der Schuldner der rechtzeitigen Leistung entziehen wird. Hierfür reicht es, dass er den Anspruch ernstlich bestreitet (BGH, Urt. v. 14.1.2.1998 – II ZR 330/97, NJW 1999, 954, Rn. 15 nach juris). b) Der Anspruch steht nicht unter einer unzulässigen außerprozessualen Bedingung. Der Antrag enthält vielmehr einen Leistungszeitpunkt, er ist also befristet. Dies ist bei einem Antrag auf künftige Leistung erforderlich. Dass sich der Leistungszeitpunkt lediglich mittelbar vom Zeitpunkt der Rechtshängigkeit her bestimmen lässt, ist unschädlich (Zöller/Greger, ZPO, 35. Aufl., § 257 ZPO Rn. 5). c) Der Antrag überschneidet sich nicht mit dem Klagantrag zu 3. Die beiden Anträge sind zeitlich klar voneinander abgegrenzt. Mit dem Klagantrag zu 3. begehrt die Klägerin einen bestimmten Umgang mit ihren Daten bis einen Monat nach Rechtshängigkeit, der Klagantrag zu 4. setzt zeitlich danach an. d) Der Klägerin steht auch ein Rechtsschutzbedürfnis zu. Ein solches ist nicht deshalb zu verneinen, weil sie die Möglichkeit hätte, ihren M.-Account vollständig zu löschen oder ihre persönlichen Daten von diesem zu trennen. Das Begehren der Klägerin geht über diese ihr von der Beklagten eröffneten Möglichkeiten hinaus, weil es ihr die Möglichkeit einräumt, ihren I!-Account weiter zu nutzen und weil es zu einer vollständigen Löschung ihrer personenbezogenen Off-Site-Daten führt. 2. Der Anspruch ist auch begründet. a) Hinsichtlich der personenbezogenen Daten gemäß dem Klagantrag zu 1a) steht der Klägerin ein Löschungsanspruch nach Art. 17 Abs. 1 d) DSGVO zu. Nach den obigen Erwägungen ist prozessual davon auszugehen, dass diese Daten unrechtmäßig verarbeitet wurden, da die Beklagte eine Rechtfertigung der Speicherung und Verarbeitung nicht dargelegt hat. b) Die Klägerin kann ferner eine Anonymisierung der Daten aus den Klaganträgen zu 1b) und 1c) beanspruchen. Es kann dahinstehen, ob sich aus Art. 18 Abs. 1 b) DSGVO ein Anspruch auf Anonymisierung ergibt (so LG Aachen, Urt. v. 19.9.2024 – 12 O 470/23, von der Klägerin als Anlage eingereicht). Eine eigene Anspruchsgrundlage hierfür ist schon deshalb nicht erforderlich, weil die Klägerin der Beklagten die Wahl einräumt, die Daten zu löschen oder vollständig zu anonymisieren. Damit stellt der Antrag ein Minus zu einem reinen Löschungsantrag dar, wie in Art. 17 DSGVO vorsieht. Die Beklagte steht dadurch, dass sie eine zusätzliche Option zum Umgang mit den Daten erhält, selbstverständlich nicht schlechter. Mit dieser Form der Antragsstellung berücksichtigt die Klägerin zudem, dass die Beklagte einen grundsätzlich gegebenen Löschungsanspruch dadurch abwenden könnte, dass sie die erhobenen Daten gemäß den Klaganträgen zu 1b) und 1c) vollständig anonymisiert. Denn nach einer solchen Anonymisierung wären die zum Zweck der Web-Analyse erfassten Daten keine personenbezogenen Daten mehr, so dass die Anwendbarkeit der Datenschutzgesetze entfiele (Spindler/Schuster/Nink, 4. Aufl. 2019, DS-GVO Art. 28 Rn. 11). V. Der Klägerin steht ein Schadensersatzanspruch in tenorierter Höhe nach § 823 BGB zu. 1. Der Schadensersatzanspruch nach Art. 82 DSGVO schließt die Geltendmachung eines konkurrierenden Anspruchs nach nationalem Recht nicht aus (BeckOK DatenschutzR/Quaas, 51. Ed. 1.2.2025, DS-GVO Art. 82 Rn. 8;Ehmann/Selmayr/Nemitz, 3. Aufl. 2024, DS-GVO Art. 82 Rn. 8; Gola/Heckmann/Gola/Piltz, 3. Aufl. 2022, DS-GVO Art. 82 Rn. 38; Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 67; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 20; Sydow/Marsch DS-GVO/BDSG/Kreße, 3. Aufl. 2022, DS GVO Art. 82 Rn. 27), wie sich aus Erwägungsgrund 146 Satz 4 zur Datenschutzgrundverordnung ergibt. 2. Der Schutzauftrag der Artt. 1, 2 GG gebietet nach der Rechtsprechung des Bundesgerichtshofs den Schutz des Allgemeinen Persönlichkeitsrechts auch durch die Festsetzung von Geldentschädigungen zu verwirklichen (BGH, Urt. v. 19.9.1961 – VI ZR 259/60, BGHZ 35, 363, Rn. 13). Eine solche Entschädigung ist dem Betroffenen dann zuzusprechen, wenn die Verletzung schwerwiegend ist und die Beeinträchtigung nach der Art der Verletzung nicht anders abgewehrt werden kann (BVerfG, Beschluss v. 4.3.2004 – 1 BvR 2098/01, NJW 2004, 2371, Rn. 13 f.; BGH, Urt. v. 15.11.1994 – VI ZR 56/94, BGHZ 128, 1, Rn. 74). a) Jede rechtswidrige Verarbeitung personenbezogener Daten stellt eine Verletzung des Allgemeinen Persönlichkeitsrechts dar. Denn das Rechts auf informelle Selbstbestimmung als Teilbereich des Allgemeinen Persönlichkeitsrechts begründet ein Recht des Betroffenen, selbst darüber zu entscheiden, wie seine Daten verarbeitet werden (BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83 u.a., BVerfGE 61, 1, Rn. 149 nach juris). Dass das Recht auf informationelle Selbstbestimmung nicht schrankenlos gewährleistet ist, sondern etwa Einschränkungen im überwiegenden Allgemeininteresse unterliegt (BVerfG, a.a.O. Rn. 150), steht dem nicht entgegen. Denn dieser Interessenkonflikt zwischen dem Schutz der personenbezogenen Daten und den Interessen der Allgemeinheit oder Dritter ist spezialgesetzlich über die Rechtfertigungsgründe des Art. 6 DSGVO gewährleistet. Die Feststellung, dass eine Datenverarbeitung rechtswidrig ist, beinhaltet damit bereits ein Überwiegen der Interessen des Betroffenen. b) Die Rechtsverletzung ist schwerwiegend. Hierfür spricht die weitgehende Verbreitung der von der Beklagten eingesetzten M. Business Tools, die das Gericht den als Anlagen K2 und K14 eingereichten Listen von deutschsprachigen Websites entnimmt, die allein den M. Pixel verwenden und denen die Beklagte nicht entgegengetreten ist. Ein weiterer Gesichtspunkt ist, dass die Datenaufzeichnung nicht nur einmalig zu einem bestimmten Zeitpunkt in der Vergangenheit, sondern über Jahre hin erfolgt ist. Hinzu kommt, dass die Beklagte gezielt Mechanismen, die dem Schutz vor einer Ausspähung der Daten auf Drittseiten dienen, umgeht und dies mit dem Angebot der Conversions API offen bewirbt (Anlage K12). Auch trägt der Gesichtspunkt, dass die Beklagte die personenbezogenen Daten im Ausland, u.a. in der USA speichert und damit die Durchsetzbarkeit datenschutzrechtlicher Rechtsbehelfe erschwert, zum Gewicht des Verstoßes bei. Denn obgleich eine solche Speicherung nach der aktuellen Rechtslage zulässig ist, erschwert sie die Beseitigung der Folgen einer rechtswidrigen Datenverarbeitung. Seit der Entscheidung des Europäischen Gerichtshofs im Verfahren C-252/21 vom 4.7.2023 kommt hinzu, dass diese zumindest erhebliche Zweifel an der Rechtsmäßigkeit der Datensammlung durch die Off-Site-Tools begründete, ohne dass dies, soweit erkennbar, zu Veränderungen der Datenverarbeitung durch die Beklagte geführt hat. c) Die Beeinträchtigung kann auch nicht in anderer Weise befriedigend ausgeglichen werden. Zwar wird ein Unterlassungsanspruch, wie er hier bejaht worden ist, teilweise als ein anderer Rechtsbehelf zum Ausgleich einer Verletzung des allgemeinen Persönlichkeitsrechts angesehen (BGH, NJW-RR 2016, 1136; Grüneberg/Sprau, BGB, 84. Aufl., § 823 BGB Rn. 111). Dies überzeugt aber bei einer sich in der Vergangenheit über Jahre hin erstreckenden Rechtsverletzung, wie sie hier vorliegt, nicht. Denn der Unterlassungsanspruch ist allein auf die Zukunft ausgerichtet, betrifft aber vergangene Rechtsverletzungen nicht. Anders ist dies bei einem Widerrufsrecht bzw. einem Recht auf Gegendarstellung, wie es im Äußerungsrecht entwickelt wurde. Denn diese Rechtsbehelfe dienen gerade dazu, eine vergangene Rechtsgutverletzung soweit möglich ungeschehen zu machen. Deshalb können sie dazu führen, dass eine weitergehende Entschädigung zur Kompensation der Verletzung des Allgemeinen Persönlichkeitsrechts nicht erforderlich ist (BGH, Urt. v. 15.11.1994 – VI ZR 56/94, BGHZ 128, 1, Rn. 76, dort verneint). Vergleichbare Rechtsbehelfe stehen der hiesigen Klägerin nicht zur Verfügung. Insbesondere kommt dem Löschungsanspruch, der in seiner Funktion am ehesten dem Widerruf bzw. der Gegendarstellung entspricht, nicht die gleiche Genugtuungsfunktion zu, da die Umsetzung dieses Anspruchs für den Betroffenen unsicher bleibt. Denn die Klägerin wird niemals sicher erfahren, dass ihre von der Beklagten gespeicherten Off-Site-Daten vollständig gelöscht sind, während ein im Äußerungsrecht Betroffener nachvollziehen kann, ob ein Widerruf bzw. eine Gegendarstellung veröffentlicht wurden. d) Bei der Höhe der Entschädigung berücksichtigt das Gericht die unter b) genannten Aspekte. Einschränkend wirkt sich aus, dass die Betroffenheit der Klägerin letztlich nur abstrakt festgestellt werden kann, was zwar, wie oben ausgeführt wurde, einer prozessualen Geltendmachung ihrer Ansprüche nicht entgegensteht, dem Gericht aber nur eine eingeschränkte Bewertung des Ausmaßes des Eingriffs in das Recht der informationellen Selbstbestimmung ermöglicht. VI. Die Nebenforderungen sind teilweise begründet. 1. Verzugszinsen stehen der Klägerin erst ab Rechtshängigkeit gemäß §§ 291, 288 Abs. 1 BGB zu. Dass die Beklagte, die den Zugang des als Anlage K3 eingereichten Schreibens bestreitet, zuvor in Schuldnerverzug geraten ist, ist nicht nachgewiesen. 2. Der Freistellungsanspruch ist begründet. Rechtsgrundlage für die Erstattung der Rechtsanwaltskosten ist Art. 82 DSGVO, da es sich um Kosten handelt, die die Klägerin aufgrund der rechtswidrigen Datenverarbeitung eingegangen ist. Ob die Beklagte das Schreiben der klägerischen Anwälte erhalten hat, kann für diesen Anspruch dahinstehen. Denn die vorgerichtliche Tätigkeit ist auch dann zu vergüten, wenn das Schreiben die Beklagte nicht erreicht haben sollte. Es ist auch nicht davon auszugehen, dass die Klägerin ihren späteren Prozessbevollmächtigten einen unbedingten Klagauftrag erteilt hat. Das vorgerichtliche Schreiben diente nicht der Schaffung einer Klagvoraussetzung, sondern war darauf ausgerichtet, mit einer beigefügten Verpflichtungserklärung eine gerichtliche Auseinandersetzung zu vermeiden. Es gibt keinen Grund zu der Annahme, dass die Klägerin ihre Anwälte auch für den Fall, dass die Beklagte diese Erklärung unterzeichnet hätte, mit einer Klage beauftragt hat; insbesondere lässt der Umstand, dass die Klägervertreter in mehreren tausend Fällen ähnliche Schreiben verschickt haben, nicht den Schluss zu, dass ein außergerichtlicher Abschluss der einzelnen Verfahren nicht in Betracht gekommen wäre. Sofern die Klägervertreter hingegen nur bedingt, also für den Fall, dass eine vorgerichtliche Einigung nicht zustande kommt, mit einer Klage beauftragt worden waren, hinderte sie dies nicht, eine Gebühr nach Nr. 2300 VV RVG in Rechnung zu stellen (BGH, Urt. v. 26.2.2013 – XI ZR 345/10, BKR 2013, 283, Rn. 37 nach juris). Das Bestreiten der Beklagten, dass die mit dem Klagantrag geltend gemachten Kosten entstanden seien, steht dem Anspruch ebenfalls nicht entgegen. Dass die Gebühr angefallen ist, ergibt sich aus dem RVG. Soweit das Bestreiten darauf zielt, dass die Kosten bislang nicht bezahlt wurden, ist dies für den hier geltend gemachten Freistellungsanspruch keine Voraussetzung. Der Höhe nach ist eine 1,3-Gebühr nebst Kommunikationspauschale und Umsatzsteuer nach einem Gegenstandswert von 7.000 € ersatzfähig. VII. Die Kostenentscheidung beruht auf §§ 92 Abs. 1, 269 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus §§ 708 Nr. 11, 709, 711 ZPO. Die Streitwertentscheidung ergeht nach § 63 Abs. 2 GKG. Die Beklagte bietet internetbasierte Interaktionsplattformen, unter anderem das soziale Netzwerk I!, an. Für die Inanspruchnahme dieser Dienstleistung muss sich der künftige Nutzer unter Anerkenntnis der Nutzungsbedingungen (Anlage B2) anmelden. Er wird dabei auf die Datenschutzrichtlinie der Beklagten (Anlage K1) hingewiesen. Die Klägerin nutzt das Netzwerk unter dem Benutzernamen "n." seit dem 27.12.2016. Die Nutzung dieses Netzwerks finanziert die Beklagte, sofern sich der Nutzer nicht für eine kostenpflichtige werbefreie Mitgliedschaft entscheidet, durch Werbung. Um diese zu personalisieren, verwendet sie neben den vom Nutzer zur Verfügung gestellten und den aus der Nutzung der eigenen Netzwerke generierten Daten auch solche aus Quellen außerhalb der eigenen Webseiten (sogenannte Off-Site-Daten). Diese gewinnt sie unter anderem mit den M. Business Tools. Dabei handelt es sich um Programme, die die Beklagte den Anbietern von Dritt-Webseiten und Apps zur Analyse des Besucherverkehrs und der Analyse von Werbekampagnen anbiete und die Daten wie u.a. Eingaben der Nutzer protokollieren. Die Drittanbieter können sich dafür entscheiden, diese Daten an die Beklagte zu übermitteln. Dabei treffen sie die in den Nutzungsbedingungen (Anlage B5) und dem Vertragszusatz (Anlage B9) getroffenen Vorgaben. Nach diesen Nutzungsbedingungen dürfen die Drittanbieter Daten, die über die dem Internet immanente Übertragung von Standarddaten hinausgehen, nur mit Einwilligung des Nutzers übermitteln; vertrauliche Daten dürfen danach gar nicht an die Beklagte übermittelt werden. Zunächst setzte die Beklagte als M. Business Tools Scripte ein, die in den Code der Webseite oder App integriert waren. Neuere Business Tools laufen hingegen auf den Servern der Website- oder App-Betreiber und können auch von einem technisch versierten Nutzer nicht mehr bemerkt werden. Die Beklagte teilt nicht mit, welche Drittanbieter ihre Business Tools nutzen. Sie leitet Daten, die sie bei Drittanbietern gewonnen hat, in die USA weiter. Sie eröffnet eine Möglichkeit zur Abfrage gespeicherter Daten und bietet ihren Nutzern an, die gesammelten Daten von ihrem Konto zu trennen. Diese Option kann auch für künftige Aktivitäten ausgewählt werden. Der Nutzer kann in den Datenschutzeinstellungen bestimmen, ob er der Verwendung von Informationen von Werbepartnern zur Anzeige zielgerichteter Werbung zustimmt. Die Klägerin hat diese Zustimmung erteilt. Die Klägerin machte mit dem als Anlage K3 eingereichten anwaltlichen Schreiben unter anderem die hier streitgegenständlichen Ansprüche vorgerichtlich geltend. Mit Schriftsatz vom 30.12.2024 forderte sie die Beklagte erneut zur Auskunft über die von ihr erhobenen Daten auf sowie darüber, auf welchen von ihr aufgelisteten Webseiten sie Business Tools einsetze. Die Beklagte antwortete mit dem als Anlage B11 eingereichten Schreiben. Sie behauptet, die Business Tools der Beklagten seien auf mindestens 30-40 % der weltweiten Webseiten im Einsatz. Die Beklagte könne alle von ihr erhobenen Daten über ein "digital fingerprinting" individuell zuordnen. Die von der Beklagten angebotenen Auskunfts-Tools lieferten nur einen geringen Anteil der über sie gespeicherten Daten, nämlich nur diejenigen, die gewonnen worden seien, während sie bei einem der Netzwerke der Beklagten eingeloggt gewesen sei. Sie sorge sich vor der Gefahr eines Kontrollverlusts nach Übermittlung ihrer Daten in die USA. Sie sehe sich aufgrund der Marktmacht der Beklagten nicht in der Lage, ihre Nutzerkonten zu löschen, da sie dann einen Großteil ihrer Kontakte verlöre. Sie verbringe durchschnittlich drei Stunden am Tag im Internet und beschäftige sich dort unter anderem mit den Themen Shopping und Gesundheit. Sie meint, die Beklagte sei Mitverantwortlicher im Sinn des Art. 28 DSGVO für die durch die M. Business Tools erfolgende Datenspeicherung. Die Datenverarbeitung sei nicht durch einen Rechtfertigungstatbestand des Art. 6 DSGVO gedeckt. Die Beklagte könne ihre Verantwortlichkeit für die Datenverarbeitung durch ihre Programme nicht auf die Drittanbieter auslagern, die diese Programme nutzten. Die Übertragung der Daten in unsichere Drittstaaten sei unzulässig. Es sei ihr nicht möglich, konkret dazu vorzutragen, auf welchen Seiten sie durch die M. Business Tools ausspioniert werde, da der Einsatz dieser Tools für sie nicht nachvollziehbar sei und die Beklagte nichts dazu mitteile, auf welchen Seiten diese Tools zum Einsatz kämen. Zudem würde eine Offenbarungspflicht einen erneuten tiefgreifenden Eingriff in ihre Privat- und Intimsphäre darstellen. Für die von ihr mitgeteilte Internetnutzung spreche ein Anscheinsbeweis. Die Beklagte träfe eine sekundäre Darlegungslast hinsichtlich der von ihr im Verborgenen vorgenommenen Datenverarbeitung. Die von ihr für die Verwendung von Off-Site-Daten zu Werbezwecken erteilte Auskunft sei unwirksam gewesen. Jedenfalls habe sie diese mit der Klage widerrufen. Nach Rücknahme hilfsweise erhobener im Stufenverhältnis stehender Anträge auf Auskunft und Löschung beantragt die Klägerin derzeit noch 1. festzustellen, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks ” I!” unter dem Benutzernamen "m." der Beklagten die Erfassung mit Hilfe der M. Business Tools, die Weiterleitung an die Server der Beklagten, die dortige Speicherung und anschließende Verwendung von folgenden personenbezogenen Daten nicht gestattet: a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d. h. - E-Mail der Klagepartei - Telefonnummer der Klagepartei - Vorname der Klagepartei - Nachname der Klagepartei - Geburtsdatum der Klagepartei - Geschlecht der Klagepartei - Ort der Klagepartei - Externe IDs anderer Werbetreibender (von der M. Ltd. "external_ID” genannt) - IP-Adresse des Clients - User-Agent des Clients (d. h. gesammelte Browserinformationen) - interne Klick-ID der M. Ltd. - interne Browser-ID der M. Ltd. - Abonnement-ID - Lead-ID - anon_id - die Advertising ID des Betriebssystems Android (von der M. Ltd. "madid" genannt) sowie folgende personenbezogene Daten der Klagepartei b) auf Webseiten - die URLs der Webseiten samt ihrer Unterseiten - der Zeitpunkt des Besuchs - der "Referrer" (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist), - die von der Klagepartei auf der Webseite angeklickten Buttons sowie - weitere von der M. "Events" genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren c) in mobilen Dritt-Apps - der Name der App sowie - der Zeitpunkt des Besuchs - die von der Klagepartei in der App angeklickten Buttons sowie - die von der M. "Events" genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren; 2. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten und –Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten der Klagepartei gem. dem Antrag zu 1. mit Hilfe der M. Business Tools zu erfassen, an die Server der Beklagten weiterzuleiten, die Daten dort zu speichern und anschließend zu verwenden; 3. die Beklagte zu verurteilen, die über die aktuelle Speicherung hinausgehende Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO sämtlicher unter dem Antrag zu 1a., b. und c. aufgeführten, seit dem 25.05.2018 bereits von der Beklagten verarbeiteten personenbezogenen Daten bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monate, im Wiederholungsfall bis zu zwei Jahren, bis zur Erfüllung des Löschungsanspruchs nach rechtskräftigem Abschluss des Verfahrens zu unterlassen, insbesondere diese nicht an Dritte zu übermitteln; 4. die Beklagte zu verpflichten, sämtliche gem. dem Antrag zu 1 a. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten der Klagepartei einen Monat nach rechtskräftigem Abschluss des Verfahrens vollständig zu löschen und der Klagepartei die Löschung zu bestätigen sowie sämtliche gem. dem Antrag zu 1 b. sowie c. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen; 5. die Beklagte zu verurteilen, an die Klagepartei eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 5.000,00 Euro beträgt, nebst Zinsen i. H. v. fünf Prozentpunkten über dem Basiszinssatz seit dem 20.10.2023, zu zahlen; 6. die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten i.H.v. 713,76 Euro freizustellen. Die Beklagte beantragt, die Klage abzuweisen. Sie behauptet, Zweck der Business Tools sei es, Drittunternehmen die Möglichkeit zu eröffnen, ihre Reichweite zu verbessern, Menschen zu erreichen, die ihre Produkte und Dienstleistungen nutzen könnten, und die Effektivität ihrer Werbekampagnen zu analysieren. Sie filtere unzulässige Daten, die von diesen Drittunternehmen über die Business Tools an sie weitergeleitet würden, heraus. Entsprechend den Nutzungsbestimmungen der M. Business Tools speichere sie die Kontaktinformationen, die sie zum Abgleich mit der Nutzer-ID verwende, in der Regel nur 48 Stunden, die Event-Daten maximal zwei Jahre lang. Sie habe keine Aufzeichnungen über den Eingang des als Anlage K3 eingereichten vorgerichtlichen Schreibens. Sie bestreitet, dass unbestimmte, von der Klägerin nicht genannte Drittwebseiten oder Apps die im Klagantrag zu 1. genannten Daten an sie übermittelt hätten. Nicht jede Webseite oder App übertrage alle dort genannten Datenkategorien. Sie meint, die Anträge der Klägerin seien weitgehend bereits unzulässig, in jedem Fall aber unbegründet. Die Vorwürfe der Klägerin beschränkten sich prozessual auf die Datenverarbeitung zu Werbezwecken, da die Klägerin nicht ausgeführt habe, gegen welche weiteren Zwecke der Datenverarbeitung sie sich wenden wolle. Ohne Angabe des Zweckes könne sie aber nichts zur Rechtfertigung der Speicherung vortragen. Für die Erhebung der Daten über die M. Business Tools seien die Betreiber der Webseiten und Apps, die diese einbänden, maßgeblich verantwortlich. Sie, die Beklagte, stütze die Verwendung von Off-Site-Daten zu Werbezwecken auf eine Einwilligung des Nutzers. Wenn eine solche nicht vorliege, verarbeite sie die über die M. Business Tools übersandten Daten nicht zu diesem Zweck. Der Vortrag der Klägerin zu etwaigen Rechtsverletzungen sei nicht hinreichend konkret, damit sie sich damit auseinandersetzen könne, da die Klägerin nicht mitteile, welche Webseiten sie besucht habe. Eine sekundäre Darlegungslast treffe sie nicht, da diese voraussetze, dass die darlegungsbelastete Partei keine Möglichkeit zur weiteren Sachaufklärung habe. Die Übermittlung von Daten in die USA sei aufgrund der aktuellen regulatorischen Rahmenbedingungen zulässig. Auch in der Vergangenheit sei sie gutgläubig davon ausgegangen, hierzu aufgrund der erst später für unwirksam erklärten Rechtsakte berechtigt zu sein. Die Übermittlung von Daten an Dritte, deren Inhalte auf einer Webseite eingebunden würden, sei ein Grundprinzip des Internets. Die Klägerin habe weder eine Rechtsverletzung noch einen hierauf beruhenden Schaden dargelegt. Auf Fehlvorstellungen beruhende Befürchtungen könnten keinen Anlass für einen Schadensersatzanspruch nach Art. 82 DSGVO bilden. Die vorgerichtliche anwaltliche Tätigkeit sei nicht erforderlich gewesen, da die Klägerin die begehrten Informationen selbst habe abrufen können. Die Klage wurde am 5.3.2024 zugestellt.