325 O 261/23

Leitsatz: 1. Die Zulässigkeit einer Zwischenfeststellungsklage nach § 256 Abs. 2 ZPO setzt voraus, dass eine der übrigen im Prozess zu treffenden Entscheidungen vom Bestehen oder Nichtbestehen eines Rechtsverhältnisses abhängt. Rechtsverhältnis im Sinn dieser Bestimmung ist jede aus einem konkreten Lebenssachverhalt resultierende Beziehung, aus der ein subjektives Recht entstehen kann. Die Frage der Zulässigkeit der Speicherung von Daten des Nutzers eines sozialen Netzwerks bildet ein solches Rechtsverhältnis.(Rn.53) 2. Weitere ungeschriebene Voraussetzung für die Zulässigkeit einer Zwischenfeststellungsklage ist eine über den Streitgegenstand hinausgehende Bedeutung. Es muss zumindest die Möglichkeit geben, dass das festzustellende Rechtsverhältnis noch für künftige Streitigkeiten relevant ist. Es ist möglich, dass der klagende Nutzer des sozialen Netzwerks später eine weitere Klage auf Ersatz ihm künftig entstehender Schäden erhebt, in der es erneut darauf ankommen wird, ob die Betreiberin des Netzwerks zur Speicherung seiner Daten befugt ist.(Rn.55) 3. Ein weitergehendes Feststellungsinteresse, wie es für eine Feststellungklage nach § 256 Abs. 1 ZPO benötigt wird, ist im Fall des § 256 Abs. 2 ZPO nicht erforderlich.(Rn.56) 4. Die Speicherung und Weiterverarbeitung der personenbezogenen Daten eines Nutzers des sozialen Netzwerks ist nicht nach dem Vertragsverhältnis gerechtfertigt, wenn der Betreiber des Netzwerks nicht dargelegt hat, dass einer der hierauf abstellenden Rechtfertigungsgründe nach Art. 6 Abs. 1 Unterabs. 1 a) oder b) DSGVO eingreift.(Rn.69) 5. Eine Einwilligung zur Speicherung und Verarbeitung von Off-Site-Daten kann eine Datenverarbeitung nach Art. 6 Abs. 1 Unterabs. 1 a) DSGVO rechtfertigen. Diese wurde nicht erteilt, wenn der Nutzer insbesondere einer Verwendung dieser Daten zur Erstellung zielgerichteter Werbung nicht zugestimmt hat.(Rn.70) 6. Die Datenverarbeitung ist auch nicht zur Erfüllung eines Vertrags nach Art. 6 Abs. 1 Unterabs. 1 b) DSGVO erforderlich, wenn das Geschäftsmodell des Netzwerksbetreibers diesen nicht zwingt, die angebotenen Inhalte zu personalisieren (Anschluss EuGH, Urteil vom 4. Juli 2023 - C-252/21).(Rn.71) 7. Eine rechtswidrige Speicherung und Verarbeitung personenbezogener Daten stellt auch einen Verstoß gegen das Allgemeine Persönlichkeitsrecht in Form des Rechts auf Informationelle Selbstbestimmung dar.(Rn.84) 8. Hinsichtlich der personenbezogenen Daten kann dem Nutzer ein Löschungsanspruch nach Art. 17 Abs. 1 d) DSGVO zustehen. Es ist prozessual davon auszugehen, dass diese Daten unrechtmäßig verarbeitet wurden, wenn der Betreiber des sozialen Netzwerks eine Rechtfertigung der Speicherung und Verarbeitung nicht dargelegt hat.(Rn.104) Es wird festgestellt, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks ” I1” unter dem Benutzernamen „d.“ der Beklagten die Speicherung und anschließende Verwendung von folgenden mit Hilfe der M. Business Tools erfassten personenbezogenen Daten nicht gestattet: auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten des Klägers, ob direkt oder in gehashter Form übertragen, d. h. - E-Mail des Klägers - Telefonnummer des Klägers - Vorname des Klägers - Nachname des Klägers - Geburtsdatum des Klägers - Geschlecht des Klägers - Externe IDs anderer Werbetreibender (von der M. Ltd. „external_ID” genannt) - IP-Adresse des Clients - User-Agent des Clients (d. h. gesammelte Browserinformationen) - interne Klick-ID der M. Ltd. - interne Browser-ID der M. Ltd. - Abonnement-ID - Lead-ID - anon_id - Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, die folgenden mit Hilfe der M. Business Tools auf Drittseiten und –Apps außerhalb der Netzwerke der Beklagten erfassten personenbezogenen Daten zu speichern und anschließend zu verwenden: auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten des Klägers, ob direkt oder in gehashter Form übertragen, d. h. - E-Mail des Klägers - Telefonnummer des Klägers - Vorname des Klägers - Nachname des Klägers - Geburtsdatum des Klägers - Geschlecht des Klägers - Externe IDs anderer Werbetreibender (von der M. Ltd. „external_ID” genannt) - IP-Adresse des Clients - User-Agent des Clients (d. h. gesammelte Browserinformationen) - interne Klick-ID der M. Ltd. - interne Browser-ID der M. Ltd. - Abonnement-ID - Lead-ID - anon_id Gleiches gilt für die Erfassung der oben genannten Daten mittels der M. Business Tools und deren Weiterleitung, sofern der Kläger dem Drittbetreiber hierzu keine Einwilligung erteilt hat. - Die Beklagte wird verurteilt, die oben aufgeführten, seit dem 25.05.2018 bereits von der Beklagten verarbeiteten personenbezogenen Daten unverändert am gleichen Ort zu belassen. Sie wird ferner verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, diese Daten vor Ablauf eines Monats nach rechtskräftigem Abschluss des Verfahrens zu löschen, intern weiterzuverwenden oder an Dritte zu übermitteln. - Die Beklagte wird verurteilt, sämtliche oben genannten seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten des Klägers einen Monat nach rechtskräftigem Abschluss des Verfahrens vollständig zu löschen und dem Kläger die Löschung zu bestätigen sowie sämtliche der seit dem 25.05.2018 bereits gespeicherten folgenden personenbezogenen Daten a) auf Webseiten - die URLs der Webseiten samt ihrer Unterseiten - der Zeitpunkt des Besuchs - der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist), - die von der Klagepartei auf der Webseite angeklickten Buttons sowie - weitere von der Beklagten „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren b) in mobilen Dritt-Apps - der Name der App sowie - der Zeitpunkt des Besuchs - die von der Klagepartei in der App angeklickten Buttons sowie - die von der Beklagten „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen. - Die Beklagte wird verurteilt, an den Kläger 3.000,00 Euro nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz p.a. seit dem 22.1.2024 zu zahlen. - Die Beklagte wird verurteilt, den Kläger von vorgerichtlichen Rechtsanwaltskosten in Höhe von 713,76 € freizustellen. - Im Übrigen wird die Klage abgewiesen. - Die Kosten des Rechtsstreits trägt der Kläger zu 36 %, die Beklagte zu 64 %. - Das Urteil ist vorläufig vollstreckbar, für den Kläger hinsichtlich der Entscheidungen zu I. und II. jedoch nur gegen Sicherheit in Höhe von je 3.000 €, hinsichtlich der Entscheidung zu III. und IV. gegen Sicherheitsleistung in Höhe von je 500 €, im Übrigen gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags. Der Kläger kann die vorläufige Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des nach dem Urteil vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrags leistet. und beschließt: Der Streitwert wird auf 11.000 € festgesetzt. I. Der Klagantrag zu 1. ist teilweise erfolgreich 1. Der Antrag ist weitgehend zulässig. Dabei kann dahinstehen, ob dem Kläger ein Feststellungsinteresse nach § 256 Abs. 1 ZPO zusteht. Die Zulässigkeit des Klagantrags zu 1. folgt jedenfalls aus § 256 Abs. 2 ZPO. a) Nach dieser Bestimmung kann eine Partei beantragten, dass ein im Laufe des Prozesses streitig gewordenes Rechtsverhältnis, von dessen Bestehen oder Nichtbestehen die Entscheidung des Rechtsstreits ganz oder zum Teil abhängt, durch richterliche Entscheidung festzustellen. Die Bestimmung gilt über den Wortlaut hinaus auch für Rechtsverhältnisse, die bereits zu Beginn des Prozesses streitig sind (Zöller/Greger, ZPO, 35. Aufl., § 256 ZPO Rn. 38). Das hat zur Folge, dass die Zwischenfeststellungsklage nach § 256 Abs. 2 ZPO zusammen mit der Hauptklage eingereicht werden kann (Zöller/Greger, ZPO, 35. Aufl., § 256 ZPO Rn. 42). b) Voraussetzung für die Zulässigkeit einer Zwischenfeststellungsklage nach § 256 Abs. 2 ZPO ist, dass eine der übrigen im Prozess zu treffenden Entscheidungen vom Bestehen oder Nichtbestehen eines Rechtsverhältnisses abhängt. Rechtsverhältnis im Sinn dieser Bestimmung ist jede aus einem konkreten Lebenssachverhalt resultierende Beziehung, aus der ein subjektives Recht entspringen kann. Die Frage der Zulässigkeit der Speicherung von Daten des Klägers bildet ein solches Rechtsverhältnis. Sie ist zur Entscheidung über die weiteren Klaganträge zu prüfen, weil es sich um eine immer wieder auftretende Vorfrage handelt, von der eine stattgebende Entscheidung über die anderen Klaganträge abhängt. c) Dass der Kläger seinen Antrag auf die Feststellung beschränkt, dass das zwischen ihm und der Beklagten bestehende Vertragsverhältnis eine Speicherung seiner Daten nicht rechtfertige, steht der Zulässigkeit des Antrags nicht entgegen. Zwar bleibt es selbst dann, wenn der Feststellungsantrag bejaht wird, denkbar, dass die Speicherung aufgrund anderer Umstände, z.B. behördlicher Vorgaben rechtmäßig ist. Dennoch stellt die Fragestellung, ob sich eine Rechtfertigung aus dem Vertragsverhältnis der Parteien ergibt, einen wesentlichen Gesichtspunkt für die Prüfung der Rechtmäßigkeit der Datenspeicherung dar. So führt die Beklagte hinsichtlich der Speicherung der Daten zum Zweck des Angebotes zielgerichteter Werbung aus, dass sie dies nur im Fall einer Einwilligung des Nutzers, die Bestandteil der vertraglichen Vereinbarungen wäre, vornehme. Das Gericht muss sich daher bei der Beurteilung der übrigen Klaganträge jeweils unter anderem mit der Fragestellung auseinandersetzen, ob der Beklagten aufgrund der vertraglichen Beziehung der Parteien eine Speicherung der Daten gestattet ist. d) Weitere ungeschriebene Voraussetzung für die Zulässigkeit einer Zwischenfeststellungsklage ist eine über den Streitgegenstand hinausgehende Bedeutung (Zöller/Greger, ZPO, 35. Aufl., § 256 ZPO Rn. 40). Es muss also zumindest die Möglichkeit bestehen, dass das festzustellende Rechtsverhältnis noch für künftige Streitigkeiten relevant ist. Das ist hier der Fall. So ist denkbar, dass der Kläger später eine weitere Klage, auf Ersatz ihm künftig entstehender Schäden erhebt, in der es erneut darauf ankommen wird, ob die Beklagte zur Speicherung seiner Daten befugt ist. e) Ein weitergehendes Feststellungsinteresse wie es für eine Klage nach § 256 Abs. 1 ZPO benötigt wird, ist im Fall des § 256 Abs. 2 ZPO nicht erforderlich. Allerdings fehlt es an einem Rechtsschutzbedürfnis, soweit der Feststellungsantrag sich auf die Erfassung und Weiterleitung der Daten bei den Drittbetreibern bezieht. Richtig ist zwar, dass die Beklagte als Verantwortliche für die Herstellung der M. Business Tools, welche zur Datenerhebung eingesetzt wird, zusammen mit den Website- oder App-Betreibern, die diese Tools einsetzen, für die durch die Tools erfolgende Datenspeicherung verantwortlich ist (EuGH, Urt. v. 29.7.2019 – C-40/17, NJW 2019, 2755, Rn. 65 ff, 81). Die Beklagte wird von dieser gemeinsamen Verantwortlichkeit auch nicht dadurch frei, dass sie dem Betreiber der Website oder der App auferlegt, die Einwilligung der Nutzer seines Angebots für die Weiterleitung von Daten an die Beklagte einzuholen. Denn auch wenn der Abschluss einer Vereinbarung in Art. 26 Abs. 1 DSGVO gefordert wird, sieht Art. 26 Abs. 3 DSGVO vor, dass jeder der Verantwortlichen trotz des Abschlusses einer solchen Vereinbarung für Verstöße verantwortlich bleibt. Es fehlt jedoch insofern an einem streitigen Rechtsverhältnis. Denn beide Parteien gehen übereinstimmend davon aus, dass eine Erfassung und Weiterleitung der Daten auf der Website oder in der App eines Drittanbieters dann rechtswidrig ist, wenn die in der Vereinbarung der Beklagten mit dem Drittanbieter vorgesehene Einwilligung nicht eingeholt wird. 2. Die vom Klagantrag zu 1) erfasste Datenverarbeitung der Beklagten ist, soweit der Antrag zulässig ist, nicht gemäß der Vertragsbeziehung gerechtfertigt. Die begehrte Feststellung ist daher in Bezug auf das Speichern und Weiterverarbeiten der Daten des Klägers bei der Beklagten auszusprechen. a) Die Beklagte verarbeitet über die M.-Business-Tools gewonnene Daten auch ohne eine Einwilligung des Nutzers, die sie ohnehin nur für die Verwendung zur personalisierten Werbung einholt. Sie räumt selbst ein, dass sie die von ihr als Off-Site-Daten bezeichnete Daten für Sicherheits- und Integritätszwecke speichere und verwende. Ungeachtet dessen, dass aus den Erläuterungen der Beklagten nicht hervorgeht, welche Maßnahmen damit bezeichnet sind und weshalb und in welchem Umfang dafür eine Verwendung der Daten des Klägers erforderlich ist, gibt es nach den Ausführungen der Beklagten offenbar auch noch weitere Verwendungen. Denn die Formulierung, dass sie die erhobenen Daten „für eingeschränkte Zwecke wie Sicherheits- und Integritätszwecke verwende“ (Hervorhebung hier) zeigt, dass die genannten Zwecke nur beispielhaft aufgezählt sind. Im Übrigen folgt auch daraus, dass die Beklagte einem Nutzer die Möglichkeit eröffnet, seine Off-Site-Daten von seinem M.-Konto zu trennen, dass die Beklagte die Off-Site-Daten nicht löscht, auch wenn der Nutzer mit deren Nutzung für personalisierte Werbung nicht einverstanden ist. Schließlich weist die Beklagte auch darauf hin, dass die Nutzung der Off-Site-Daten „maßgeblich“ von den vom Nutzer getroffenen Einstellungen abhänge, was ebenfalls zeigt, dass diese nicht für alle Verwendungen relevant sind. Die Verantwortlichkeit für die Verwendung der Daten liegt, nachdem sie an die Beklagte übermittelt wurden, auch ausschließlich bei dieser. Eine gemeinsame Verantwortlichkeit mit dem Unternehmen, auf dessen Seite die Daten gewonnen wurde, besteht nur bis zur Übermittlung (EuGH, Urt. v. 29.7.2019 – C-40/17, NJW 2019, 2755, Rn. 85). b) Die Klage ist nicht, wie von der Beklagten wiederholt vorgetragen, auf die Verwendung von Daten zur Bereitstellung personalisierter Werbung beschränkt. Eine solche Einschränkung enthalten die Klaganträge nicht. Der Kläger hat seit Beginn des Verfahrens klargestellt, dass er sich gegen jede Verarbeitung seiner über die Business Tools gewonnener personenbezogenen Daten wendet. Ausdrücklich hat er dies noch einmal im Schriftsatz vom 3.1.2025 erklärt, in dem es heißt „Der Kläger möchte, dass die Beklagte bereits die Erhebung und Erfassung (d.h. die Erstverarbeitung) seiner personenbezogenen Daten durch die Software „M. Business Tools“ vollständig unterlässt.“ Werbung erwähnt der Kläger nur im Zusammenhang mit der Finanzierung des Geschäftsmodells der Beklagten, ohne dass sich daraus irgendein Anhalt ergeben würde, dass sich sein Anliegen auf den Bereich der Werbung beschränkt. Ausdrücklich hat der Kläger erklärt, dass er eine Weitergabe seiner Daten an Geheimdienste, externe Forscher, Dienstleister und sonstige Dritte befürchte. Es bestand auch kein Anlass für den Kläger, die Zwecke zu konkretisieren, zu denen die Beklagte möglicherweise seine personenbezogenen Daten verwendet. Vielmehr liegt die Darlegungs- und Beweislast dafür, dass sie die personenbezogenen Daten des Klägers nach den Vorgaben der DSGVO verarbeitet hat, bei der Beklagten. Diese hat deshalb auch vollständig zu den Zwecken vorzutragen, für die sie die Daten verarbeitet. Die Erklärung der Beklagten, dass sie Off-Site-Daten zu anderen Zwecken als für personalisierte Werbung nur entsprechend ihrer Datenschutzrichtlinie verwende, ersetzt ein prozessuales Vorbringen zu diesen Zwecken und der Rechtmäßigkeit der Verwendung nicht, zumal die Datenschutzrichtlinie selbst kein hinreichendes Vorbringen zur Rechtfertigung der Verarbeitung enthält. c) Zur Prüfung der Rechtmäßigkeit der von der Beklagten vorgenommenen Datenspeicherung und –verarbeitung ist es nicht erforderlich, dass der Kläger konkrete Webseiten oder Apps angibt, die er besucht bzw. verwendet hat. Ein derartiges Vorbringen ist schon für die Internetnutzung des Klägers in der Vergangenheit nicht sinnvoll, da der Kläger ohnehin nicht weiß, auf welchen Seiten bzw. in welchen Apps die M. Business Tools zum Einsatz kommen. Vom Kläger kann auch nicht erwartet werden, dass er dies in Erfahrung bringt, da die neueren Business Tools unstreitig nicht mehr in einer Weise in den Quellcode der Webseiten eingebunden sind, dass ein fachkundiger Nutzer deren Einsatz erkennen könnte. Zudem ist es bei regelmäßiger Nutzung des Internets nahezu unmöglich zusammenzustellen, welche Internetseiten man in der Vergangenheit besucht hat. Erst recht gilt für die künftige Internetnutzung des Klägers, dass eine Auflistung konkreter Seiten nicht erwartet werden kann. Sowohl der Feststellungsantrag wie auch der Unterlassungsantrag betreffen auch künftige Verletzungen der Rechte des Klägers aus der Datenschutzgrundverordnung. Naturgemäß ist es dem Kläger aber nicht möglich darzulegen, welche Webseiten er in der Zukunft besuchen wird, zumal diese heute teilweise noch gar nicht existieren werden. Im Übrigen kommt es für das Bedürfnis, die Rechtswidrigkeit der Datenverarbeitung der Beklagten feststellen zu lassen, auch nicht darauf an, welche Webseiten der Kläger besucht hat oder besuchen wird. Denn der Kläger kann, seitdem er von der Funktion der M. Business Tools weiß, auch bewusst davon abgesehen haben bzw. künftig absehen, Webseiten aufzurufen, weil er nicht möchte, dass sein Interesse an dieser Webseite der Beklagten bekannt wird (vgl. dazu den Hinweis des EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 72 nach juris, dass schon der Aufruf einer Webseite Informationen über den Internetnutzer preisgibt). Würde man vom Kläger erwarten, dass er in einem Gerichtsverfahren ausführt, welche Webseiten er ohne die Gefahr einer Überwachung durch ein M. Business Tool aufrufen würde, so zwänge man ihn, die Daten preiszugeben, zu deren Geheimhaltung er den Rechtsstreit führt. Auch ohne genauere Informationen über die Internetnutzung des Klägers ist davon auszugehen, dass er von der Datenspeicherung und –verarbeitung über die M. Business Tools betroffen ist. Dem Kläger kommt dabei der Rechtsgedanke zugute, mit dem das Bundesverfassungsgericht bei geheimdienstlichen Überwachungsmaßnahmen eine Betroffenheit des dortigen Klägers ohne weitere Darlegung annahm. Das Bundesverfassungsgericht ging davon aus, dass es bei Rechtsakten, bei denen der Betroffene nicht von der Vollziehung erfährt, ausreichend sei, wenn dieser darlege, mit einiger Wahrscheinlichkeit von der Maßnahme in eigenen Grundrechten berührt zu werden. Hiervon sei auszugehen, wenn die Maßnahme eine große Streubreite aufweise und nicht auf einen tatbestandlich eng umgrenzten Personenkreis ziele (BVerfG, Beschluss v. 8.10.2024 – 1 BvR 1743/16, 1 BvR 2539/16, EuGRZ 2025, 118, Rn. 89 nach juris). Die Datenerfassung durch die M. Business Tool zielt nicht auf einen eng umgrenzten Personenkreis, was sich bereits aus den vom Kläger eingereichten Listen der deutschsprachigen Webseiten ergibt, die den M. Pixel, also eines der Business Tools, einsetzen (Anlagen K2, K14), denen die Beklagte nicht entgegengetreten ist. Die darin genannten Webseiten betreffen ganz unterschiedliche denkbare Nutzungen des Internets. Andere Tools, die für Dritte nicht erkennbar sind, sorgen möglicherweise sogar noch für eine weitergehende Verbreitung der Datenerfassung. Dafür dass der Kläger hiervon betroffen ist, spricht schon, dass er das Internet nutzt, was sich daraus herleiten lässt, dass er sich einen I1-Account zugelegt hat. Dass der Kläger nichts über die von ihm besuchten Webseiten vortragen muss, beschränkt die Beklagte nicht unzumutbar in ihren Verteidigungsmöglichkeiten. Schließlich könnte sie dazu vortragen und unter Beweis stellen, wenn der Kläger entgegen aller Wahrscheinlichkeit von der Datenerfassung durch die M. Business Tools überhaupt nicht betroffen wäre. d) Die an die Beklagte übermittelten Daten bleiben auch dann personenbezogen, wenn die Beklagte gemäß 2 (a) (i) (ii) ihrer Geschäftsbedingungen die Kontaktinformationen, die ihr übermittelt wurden, nach kurzer Zeit löscht. Denn diese Löschung erfolgt nach dem Abgleichprozess, d.h. nachdem sie die mit den Kontaktinformationen übermittelten Event-Daten mit einer Facebook-Nutzer-ID verknüpft hat, so dass eine Zuordnung zum Kläger möglich bleibt. e) Die Speicherung und Weiterverarbeitung der personenbezogenen Daten des Klägers ist nicht nach dem Vertragsverhältnis gerechtfertigt. Die Beklagte hat nicht dargelegt, dass einer der hierauf abstellenden Rechtfertigungsgründe (Art. 6 Abs. 1 Unterabs. 1 a) oder b) DSGVO) eingreift. aa) Eine Einwilligung des Klägers zur Speicherung und Verarbeitung von Off-Site-Daten, die eine Verarbeitung nach Art. 6 Abs. 1 Unterabsatz 1 a) DSGVO rechtfertigen könnte, wurde nicht erteilt, insbesondere hat der Kläger der Verwendung dieser Daten zur Erstellung zielgerichteter Werbung nicht zugestimmt. Dass die Beklagte für die Datenerhebung nicht allein auf die Einwilligung der Nutzer setzt, zeigt auch schon der Umstand, dass sie die Conversions API, also ein neueres Business Tool damit bewirbt, dass diese auch dann Daten erfassen kann, wenn der Nutzer dies durch technische Vorkehrungen zu vermeiden versucht (Anlage K12) bb) Die Datenverarbeitung ist auch nicht zur Erfüllung eines Vertrags nach Art. 6 Abs. 1 Unterabsatz 1 b) DSGVO erforderlich. Das Geschäftsmodell der Beklagten zwingt diese nicht, die angebotenen Inhalte zu personalisieren (EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 102 nach juris). Erst recht gilt dies für eine Personalisierung anhand der hier allein streitgegenständlichen Off-Site-Daten, denn der Kläger beanstandet ja nicht, dass ihm Inhalte und ggf. auch Werbung auf der Grundlage der von ihm besuchten M.-Seiten vorgeschlagen werden. cc) Die weiteren grundsätzlich denkbaren Rechtfertigungsgründe aus Art. 6 Abs. 1 Unterabs. 1 e) und f) würden sich nicht aus dem Vertragsverhältnis der Parteien ergeben und sind daher nicht Gegenstand des Feststellungsantrags, so dass an dieser Stelle offenbleiben kann, ob sich hieraus eine Rechtfertigung der Speicherung und Verarbeitung der Daten herleiten lässt. f) Der Kläger beanstandet weitgehend zutreffend die Rechtswidrigkeit der Speicherung und Verarbeitung der von ihm bezeichneten Datenpunkte. Zu unbestimmt ist allein die Angabe „Ort des Klägers“. Diese lässt nicht erkennen, ob es dem Kläger darum geht, dass sein Aufenthaltsort zum Zeitpunkt des Aufrufs einer Drittbetreiberwebseite, also seine aktuellen Geodaten, nicht erfasst werden sollen oder seine Anschrift, die er möglicherweise auf der Drittbetreiberwebseite eingeben muss. Zurecht wendet sich der Kläger hingegen gegen die Speicherung der IP-Adresse und des User-Agent. Dabei verkennt das Gericht nicht, dass die Übermittlung dieser Daten an die Beklagte im Rahmen einer http-Anfrage zwingend ist, wenn der Betreiber einer Drittwebseite Inhalte der Beklagten einbettet und sei es nur in Form des M.-Pixels. Dies rechtfertigt aber nur die Speicherung dieser Daten, solange dies für den Aufbau der Webseite durch den vom Kläger verwendeten Browser erforderlich ist. Um diese Speicherung der zur Einbindung des Business Tools benötigten Daten geht es dem Kläger aber nicht. Der Klagantrag umfasst nur mittels des Business Tools erfasste Daten. Dafür dass eine auf diese Weise durch das Business Tool gespeicherte IP-Adresse von der Beklagten gespeichert und verarbeitet werden muss, ist keine Rechtfertigung ersichtlich. Vielmehr führt eine solche Speicherung zur Unzulässigkeit des Einsatzes eines im Übrigen zulässigen Web-Analyse-Tools (Spinder/Schuster/Nink, 4. Aufl. 2019, DS-GVO Art. 28 Rn. 11). Hinsichtlich der mit den Klaganträgen zu 1b) und 1c) genannten Daten kann das Gericht die fehlende Rechtfertigung der Speicherung und Verarbeitung in der beantragten Form nicht feststellen. Denn diese Daten sind für sich genommen keine personenbezogenen Daten. Vielmehr handelt es sich um die Daten, die zweckmäßigerweise von einem Analyse-Tool erfasst werden. Dies ist im Fall der Anonymisierung rechtmäßig, weil die Datenschutzgesetze auf einen solchen Vorgang nicht anwendbar sind (Spinder/Schuster/Nink, 4. Aufl. 2019, DS-GVO Art. 28 Rn. 11). Personenbezogen würden diese Daten erst dadurch, dass sie zusammen mit den unter dem Klagantrag 1a) genannten Daten des Klägers gespeichert werden. Dies sieht der Kläger offenbar auch so, weil er mit dem Klagantrag zu 4. (nur) eine Anonymisierung dieser Daten verlangt. g) Die schriftsätzlich begehrte Feststellung, dass der Nutzungsvertrag auch bei Änderung der AGB der Beklagten eine Speicherung der Daten nicht erlauben würde, ist nicht zu treffen. Zum einen ist dies vom Wortlaut des Antrags, an den das Gericht nach § 308 ZPO gebunden ist, nicht umfasst. Im Übrigen handelt es sich auch um eine hypothetische Frage, die nicht Gegenstand eines Feststellungsantrags sein kann. II. Der Klagantrag zu 2. ist ebenfalls teilweise erfolgreich. 1. Der Antrag ist zulässig. a) Eine vorbeugende Unterlassungsklage ist im Anwendungsbereich der DSGVO möglich (BeckOK DatenschutzR/Quaas, 51. Ed. 1.2.2025, DS-GVO Art. 82 Rn. 9; Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 79 Rn. 17; Ehmann/Selmayr/Nemitz, 3. Aufl. 2024, DS-GVO Art. 79 Rn. 17). Dem steht nicht entgegen, dass die Datenschutzgrundverordnung der Harmonisierung des Datenschutzes in den Mitgliedsstaaten dient. Die DSGVO verfolgt schon gar nicht das Ziel einer Vollharmonisierung, was sich daran zeigt, dass sie viele Öffnungsklauseln enthält, die dem nationalen Gesetzgeber einen eigenen Handlungsspielraum verschaffen (Schlussanträge des Generalanwalts vom 2.12.2021- C-319/20, Rn. 50 ff.). Daneben spricht gegen eine Sperrwirkung der DSGVO, dass diese das Ziel eines effektiven Rechtsschutzes verfolgt (BeckOK DatenschutzR/Quaas, 51. Ed. 1.2.2025, DS-GVO Art. 82 Rn. 9; Ehmann/Selmayr/Nemitz, 3. Aufl. 2024, DS-GVO Art. 79 Rn. 17). Zu berücksichtigen ist ferner, dass die Zulassung eines vorbeugenden Unterlassungsanspruchs die objektive Rechtslage nicht ändert. Denn die Beklagte wäre, wie sie selbst einräumt (Schriftsatz vom 14.5.2024, Rn. 102), auch ohne Unterlassungstitel zur künftigen Einhaltung der Vorgaben der DSGVO verpflichtet. Der Unterlassungsanspruch begründet nur eine Möglichkeit des Betroffenen, diese objektiv-rechtliche Verpflichtung selbst gerichtlich geltend zu machen. Dass ihm diese Möglichkeit nach der DSGVO zu eröffnen ist, ergibt sich aus Art. 79 DSGVO, der festlegt, dass die Mitgliedsstaaten wirksame gerichtliche Rechtsbehelfe gegen Datenschutzverletzungen vorsehen müssen. Wirksam ist ein solcher Rechtsbehelf aber gerade bei erheblichen Datenschutzverstößen nur dann, wenn der Betroffene auch einer drohenden Verletzung vorbeugen bzw. einer wiederholten Verletzung entgegenwirken kann (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 79 Rn. 17). Ob eine Unterlassungsklage, die dem Rechtsschutzbegehren des Klägers entspricht, daneben auch auf eine entsprechende Anwendung von Art. 17 DSGVO gestützt werden kann (so BGH, Urt. v. 27.7.2020 – VI ZR 405/18, BGHZ 226, 285, Rn. 17 nach juris; MüKoBGB/Rixecker, 10. Aufl. 2025, BGB Anh. § 12 Rn. 305), ist fraglich, da es dem Kläger nicht wie in den Entscheidungen des Bundesgerichtshofs, in denen ein solcher Anspruch entwickelt wurde, um eine dauerhafte Auslistung geht, also darum, dass gelöschte Daten nicht zu einem späteren Zeitpunkt wieder in ein Verzeichnis aufgenommen werden, sondern darum, dass die Beklagten künftig keine neuen personenbezogenen Daten des Klägers speichert (die ganz andere Daten sein können, als die zuvor gespeicherten Daten). Letztlich kann dies aber dahinstehen, da die Voraussetzungen eines solchen ungeregelten Anspruchs denjenigen des nationalen Rechts nachgebildet werden müssten (BGH Vorlagebeschluss v. 26.9.2023 – VI ZR 97/22, Rn. 26 nach juris). b) Das Rechtsschutzbedürfnis ergibt sich zum einen unter dem Gesichtspunkt einer Wiederholungsgefahr aufgrund der bisherigen Praxis der Datenverarbeitung; selbst ohne eine solche vergangene Rechtsverletzung würde sich aber die Gefahr der Erstbegehung aus der unstreitigen Funktionsweise der M. Business Tools und den Angaben der Beklagten zur Verwendung von Daten von Drittbetreibern in ihren Schriftsätzen und ihrer Datenschutzrichtlinie ergeben. c) Der Antrag auch nicht zu unbestimmt. Es obliegt nicht dem Kläger, einen bestimmten Verwendungszweck anzugeben, den er beanstandet. Vielmehr kann er, wie hier geschehen, sich allgemein gegen die Speicherung und Verarbeitung seiner Daten wenden. 2. Der Kläger kann nach § 1004 Abs. 1 Satz 2 BGB analog die begehrte Unterlassung geltend machen. a) Eine rechtswidrige Speicherung und Verarbeitung personenbezogener Daten stellt einen Verstoß gegen das Allgemeine Persönlichkeitsrecht in Form des Rechts auf Informationelle Selbstbestimmung dar. Die Speicherung und Verarbeitung der Daten ist nicht durch einen Rechtfertigungsgrund nach Art. 6 DSGVO gedeckt. Hinsichtlich der Rechtfertigungsgründe der Art. 6 Abs. 1 Unterabs. 1 a) und b) DSGVO kann auf die Ausführungen unter I. verwiesen werden. aa) Die Speicherung und Verarbeitung lässt sich auch nicht auf die Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten nach Art. 6 Absatz 1 Unterabsatz 1 f) stützen. Der Europäische Gerichtshof weist zutreffend darauf hin, dass die stichwortartige Angabe von möglichen Interessen nicht ausreicht, um darzulegen, dass die Datenverarbeitung zur Wahrung berechtigter Interessen erforderlich ist (EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 114 nach juris). Nach diesem Maßstab fehlt es auch hier an einer Erläuterung eines Erfordernisses. Soweit die Beklagte angibt, dass die Speicherung dazu diene, die Funktionalität und Sicherheit des Internets zu verbessern, ist dieser Rechtfertigungsgrund in seiner Zielrichtung und Bedeutung für die Datenverarbeitung unklar. Sollte es der Beklagten damit darum gehen, die Sicherheit der Internetnutzer zu erhöhen, indem Daten zum Beispiel zur Betrugsbekämpfung gespeichert werden, stellt dieses das Ziel einer Information der Strafverfolgungsbehörden, um Straftaten zu verhindern, aufzudecken und verfolgen, kein Interesse im Sinn des Art. 6 Abs. 1 Unterabsatz 1 f) dar (EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 124 nach juris). Anders wäre dies nur, wenn die Beklagte durch gesetzliche Vorgaben zur Speicherung bestimmter Daten verpflichtet wäre. Dies ist jedoch nicht dargelegt. Es wäre auch kaum vorstellbar, dass der Gesetzgeber die Beklagte zur Speicherung von Daten verpflichtet, die von Drittanbieterseiten stammen. Auch der Versuch einer Rechtfertigung der Datenspeicherung mit dem Schutz der Sicherheit und Integrität der Server ist nicht nachvollziehbar. Die Beklagte bezieht sich dabei auf die Gefahr eines Denial-of-Service-Angriffs. Es ist aber nicht ersichtlich, wie die von den M.-Business-Tools auf Drittbetreiberseiten gespeicherten Daten dazu helfen sollen, einen solchen Angriff zu unterbinden und was für Daten die Beklagte zu diesem Zweck verarbeitet. Schließlich stellt auch der im Schriftsatz vom 24.1.2025 auf Seite 17 ff. wiedergegebene Auszug aus der Datenschutzrichtlinie keine hinreichende Erklärung dar, dass es für die Beklagte erforderlich ist, Off-Site-Daten zur Wahrung berechtigter Interessen zu speichern. bb) Die Beklagte hat auch nicht aufzeigt, dass ihre Datenverarbeitung zur Verfügung von Aufgaben im öffentlichen Interesse im Sinn des Art. 6 Abs. 1 Unterabs. 1 e) DSGVO erforderlich wäre. Sie erwähnt zu diesem Zweck nur Forschungstätigkeit. Diese Angabe ist jedoch ebenfalls zu abstrakt, um dem Gericht eine Prüfung der Rechtfertigung zu ermöglichen, insbesondere in Bezug auf die hier streitgegenständliche Verarbeitung von Off-Site-Daten. b) Ein Unterlassungsanspruch besteht auch insofern, wie personenbezogene Daten ohne eine Einwilligung des Klägers auf Webseiten oder in Apps von Dritten durch die M.-Business Tools erfasst werden. Eine Begehungsgefahr ergibt sich aus der Darstellung des Klägers, der die beklagte nicht entgegengetreten ist, dass diese Business-Tools zumindest auf einigen Seiten so zum Einsatz kommen, dass eine Übermittlung personenbezogener Daten bereits zu einem Zeitpunkt erfolgt, an dem der Nutzer noch keine Entscheidung über eine Einwilligung treffen konnte (Schriftsatz vom 2.1.2025, Seite 27). Eine individuelle Betroffenheit von einem solchen Vorgang braucht der Kläger nach den zitierten Erwägungen des Bundesverfassungsgerichts nicht dazulegen. Die Mitverantwortlichkeit der Beklagten für den Verstoß ergibt sich aus Art. 26 Abs. 3 DSGVO. III. Der Klagantrag zu 3. hat Erfolg. 1. Der Antrag besteht richtigerweise aus einem Leistungs- und einem Unterlassungsanspruch, denn der mit „d.h. insbesondere“ eingeleitete Halbsatz stellt nicht lediglich eine Erläuterung des vorherigen Antragsziels dar. Der erste Halbsatz bezieht sich darauf, dass die bisher übermittelten und von der Beklagten gespeicherten Daten von dieser weiterhin gespeichert werden. Diese Leistung deckt sich aber nicht mit den im Antrag weiter dargestellten Unterlassungen. So könnte die Beklagte beispielsweise die Daten unverändert speichert, zugleich aber weiterverwenden und an Dritte übermitteln. Der Klagantrag verfolgt also unterschiedliche Rechtschutzbegehren. 2. Der Antrag ist weitgehend zulässig. Ob die in der ursprünglichen Antragsfassung enthaltene Aufforderung eine unzulässige Bedingung darstellte, kann nach der Umformulierung des Antrags dahinstehen. a) Unzulässig ist lediglich der Teilsatz „diese bis zu diesem Zeitpunkt nicht zu verändern“. Denn zum einen handelt es sich um eine Wiederholung des ursprünglichen Begehrens, die Daten unverändert am gespeicherten Ort zu belassen. Darüber hinaus ist eine Begehungsgefahr nicht zu erkennen. Im Übrigen besteht hinsichtlich des auf Unterlassung gerichteten Teils des Klagantrags zu 3. eine Begehungsgefahr. Diese folgt hinsichtlich der internen Verwendung und der Übermittlung an Dritte aus den Angaben in der Datenschutzrichtlinie, die einen solchen Umgang mit den Daten vorsehen. Hinsichtlich des Löschens ergibt sich die Begehungsgefahr aus der schriftsätzlichen Erklärung der Beklagten, dass sie nicht verpflichtet sei, die Daten bis zur Beendigung des Rechtsstreits zu speichern. 3. Dem Kläger steht der begehrte Anspruch zu. a) Die fortdauernde Speicherung der Daten über einen vorgegebenen Zeitraum kann der Kläger nach Art. 6 DSGVO beanspruchen. Eine Verarbeitung im Sinn dieser Vorschrift stellt nach Art. 4 Nr. 2 DSGVO nämlich unter anderem auch das Löschen oder die Vernichtung von Daten dar. Die Beklagte benötigt daher für ein Löschen der bei ihr gespeicherten personenbezogenen Daten eine Rechtfertigung im Sinn des Art. 6 DSGVO. Für das Bestehen einer solchen Rechtfertigung ist sie darlegungsbelastet, hat aber dazu nichts vorgetragen. Aus den von der Beklagten zitierten Leitlinien des EDSA 01/2022 ergibt sich nichts Abweichendes. Abgesehen davon, dass diese Leitlinien die Vorgaben der DSGVO nicht außer Kraft setzen könnten, führen sie nur aus, dass ein Verantwortlicher nicht verpflichtet ist, personenbezogene Daten bereitzustellen, die ihm nicht mehr zur Verfügung stehen. Derartige Daten betrifft aber der Klagantrag zu 3. nicht. Denn die Formulierung, dass die Beklagte „die Daten am gleichen Ort belassen soll“, zeigt, dass sich der Antrag nur auf Daten bezieht, die derzeit bei der Beklagten noch vorhanden sind. Daten die die Beklagte bereits z.B. aufgrund Ablaufs interner Speicherfristen gelöscht hat, kann sie natürlich nicht mehr am gleichen Ort belassen. b) Zur Begründetheit des Unterlassungsbegehrens kann auf die obigen Ausführungen verwiesen werden. IV. Auch der Klagantrag zu 4. ist erfolgreich. 1. Der Antrag ist zulässig. a) Die Möglichkeit zu einer Verurteilung zur zukünftigen Leistung ergibt sich aus § 259 ZPO. Sie setzt voraus, dass den Umständen nach die Besorgnis gerechtfertigt ist, dass sich der Schuldner der rechtzeitigen Leistung entziehen wird. Hierfür reicht es, dass er den Anspruch ernstlich bestreitet (BGH, Urt. v. 14.1.2.1998 – II ZR 330/97, NJW 1999, 954, Rn. 15 nach juris). b) Der Anspruch steht nicht unter einer unzulässigen außerprozessualen Bedingung. Der Antrag enthält vielmehr einen Leistungszeitpunkt, er ist also befristet. Dies ist bei einem Antrag auf künftige Leistung erforderlich. Dass sich der Leistungszeitpunkt lediglich mittelbar vom Zeitpunkt der Rechtshängigkeit her bestimmen lässt, ist unschädlich (Zöller/Greger, ZPO, 35. Aufl., § 257 ZPO Rn. 5). c) Der Antrag überschneidet sich nicht mit dem Klagantrag zu 3. Die beiden Anträge sind zeitlich klar voneinander abgegrenzt. Mit dem Klagantrag zu 3. begehrt der Kläger einen bestimmten Umgang mit seinen Daten bis einen Monat nach Rechtshängigkeit, der Klagantrag zu 4. setzt zeitlich danach an. d) Dem Kläger steht auch ein Rechtsschutzbedürfnis zu. Ein solches ist nicht deshalb zu verneinen, weil er die Möglichkeit hätte, seinen M.-Account vollständig zu löschen oder seine persönlichen Daten von diesem zu trennen. Das Begehren des Klägers geht über diese ihm von der Beklagten eröffneten Möglichkeiten hinaus, weil es ihm die Möglichkeit einräumt, seinen I1-Account weiter zu nutzen und weil es zu einer vollständigen Löschung seiner personenbezogenen Off-Site-Daten führt. 2. Der Anspruch ist auch begründet. a) Hinsichtlich der personenbezogenen Daten gemäß dem Klagantrag zu 1a) steht dem Kläger ein Löschungsanspruch nach Art. 17 Abs. 1 d) DSGVO zu. Nach den obigen Erwägungen ist prozessual davon auszugehen, dass diese Daten unrechtmäßig verarbeitet wurden, da die Beklagte eine Rechtfertigung der Speicherung und Verarbeitung nicht dargelegt hat. b) Der Kläger kann ferner eine Anonymisierung der Daten aus den Klaganträgen zu 1b) und 1c) beanspruchen. Es kann dahinstehen, ob sich aus Art. 18 Abs. 1 b) DSGVO ein Anspruch auf Anonymisierung ergibt (so LG Aachen, Urt. v. 19.9.2024 – 12 O 470/23, vom Kläger als Anlage eingereicht). Eine eigene Anspruchsgrundlage hierfür ist schon deshalb nicht erforderlich, weil der Kläger der Beklagten die Wahl einräumt, die Daten zu löschen oder vollständig zu anonymisieren. Damit stellt der Antrag ein Minus zu einem reinen Löschungsantrag dar, wie in Art. 17 DSGVO vorsieht. Die Beklagte steht dadurch, dass sie eine zusätzliche Option zum Umgang mit den Daten erhält, selbstverständlich nicht schlechter. Mit dieser Form der Antragsstellung berücksichtigt der Kläger zudem, dass die Beklagte einen grundsätzlich gegebenen Löschungsanspruch dadurch abwenden könnte, dass sie die erhobenen Daten gemäß den Klaganträgen zu 1b) und 1c) vollständig anonymisiert. Denn nach einer solchen Anonymisierung wären die zum Zweck der Web-Analyse erfassten Daten keine personenbezogenen Daten mehr, so dass die Anwendbarkeit der Datenschutzgesetze entfiele (Spindler/Schuster/Nink, 4. Aufl. 2019, DS-GVO Art. 28 Rn. 11). V. Dem Kläger steht ein Schadensersatzanspruch in tenorierter Höhe nach § 823 BGB zu. 1. Der Schadensersatzanspruch nach Art. 82 DSGVO schließt die Geltendmachung eines konkurrierenden Anspruchs nach nationalem Recht nicht aus (BeckOK DatenschutzR/Quaas, 51. Ed. 1.2.2025, DS-GVO Art. 82 Rn. 8;Ehmann/Selmayr/Nemitz, 3. Aufl. 2024, DS-GVO Art. 82 Rn. 8; Gola/Heckmann/Gola/Piltz, 3. Aufl. 2022, DS-GVO Art. 82 Rn. 38; Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 67; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 20; Sydow/Marsch DS-GVO/BDSG/Kreße, 3. Aufl. 2022, DS GVO Art. 82 Rn. 27), wie sich aus Erwägungsgrund 146 Satz 4 zur Datenschutzgrundverordnung ergibt. 2. Der Schutzauftrag der Artt. 1, 2 GG gebietet nach der Rechtsprechung des Bundesgerichtshofs den Schutz des Allgemeinen Persönlichkeitsrechts auch durch die Festsetzung von Geldentschädigungen zu verwirklichen (BGH, Urt. v. 19.9.1961 – VI ZR 259/60, BGHZ 35, 363, Rn. 13). Eine solche Entschädigung ist dem Betroffenen dann zuzusprechen, wenn die Verletzung schwerwiegend ist und die Beeinträchtigung nach der Art der Verletzung nicht anders abgewehrt werden kann (BVerfG, Beschluss v. 4.3.2004 – 1 BvR 2098/01, NJW 2004, 2371, Rn. 13 f.; BGH, Urt. v. 15.11.1994 – VI ZR 56/94, BGHZ 128, 1, Rn. 74). a) Jede rechtswidrige Verarbeitung personenbezogener Daten stellt eine Verletzung des Allgemeinen Persönlichkeitsrechts dar. Denn das Rechts auf informelle Selbstbestimmung als Teilbereich des Allgemeinen Persönlichkeitsrechts begründet ein Recht des Betroffenen, selbst darüber zu entscheiden, wie seine Daten verarbeitet werden (BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83 u.a., BVerfGE 61, 1, Rn. 149 nach juris). Dass das Recht auf informationelle Selbstbestimmung nicht schrankenlos gewährleistet ist, sondern etwa Einschränkungen im überwiegenden Allgemeininteresse unterliegt (BVerfG, a.a.O. Rn. 150), steht dem nicht entgegen. Denn dieser Interessenkonflikt zwischen dem Schutz der personenbezogenen Daten und den Interessen der Allgemeinheit oder Dritter ist spezialgesetzlich über die Rechtfertigungsgründe des Art. 6 DSGVO gewährleistet. Die Feststellung, dass eine Datenverarbeitung rechtswidrig ist, beinhaltet damit bereits ein Überwiegen der Interessen des Betroffenen. b) Die Rechtsverletzung ist schwerwiegend. Hierfür spricht die weitgehende Verbreitung der von der Beklagten eingesetzten M. Business Tools, die das Gericht den als Anlagen K2 und K14 eingereichten Listen von deutschsprachigen Websites entnimmt, die allein den M. Pixel verwenden und denen die Beklagte nicht entgegengetreten ist. Ein weiterer Gesichtspunkt ist, dass die Datenaufzeichnung nicht nur einmalig zu einem bestimmten Zeitpunkt in der Vergangenheit, sondern über Jahre hin erfolgt ist. Hinzu kommt, dass die Beklagte gezielt Mechanismen, die dem Schutz vor einer Ausspähung der Daten auf Drittseiten dienen, umgeht und dies mit dem Angebot der Conversions API offen bewirbt (Anlage K12). Auch trägt der Gesichtspunkt, dass die Beklagte die personenbezogenen Daten im Ausland, u.a. in der USA speichert und damit die Durchsetzbarkeit datenschutzrechtlicher Rechtsbehelfe erschwert, zum Gewicht des Verstoßes bei. Denn obgleich eine solche Speicherung nach der aktuellen Rechtslage zulässig ist, erschwert sie die Beseitigung der Folgen einer rechtswidrigen Datenverarbeitung. Seit der Entscheidung des Europäischen Gerichtshofs im Verfahren C-252/21 vom 4.7.2023 kommt hinzu, dass diese zumindest erhebliche Zweifel an der Rechtsmäßigkeit der Datensammlung durch die Off-Site-Tools begründete, ohne dass dies, soweit erkennbar, zu Veränderungen der Datenverarbeitung durch die Beklagte geführt hat. c) Die Beeinträchtigung kann auch nicht in anderer Weise befriedigend ausgeglichen werden. Zwar wird ein Unterlassungsanspruch, wie er hier bejaht worden ist, teilweise als ein anderer Rechtsbehelf zum Ausgleich einer Verletzung des allgemeinen Persönlichkeitsrechts angesehen (BGH, NJW-RR 2016, 1136; Grüneberg/Sprau, BGB, 84. Aufl., § 823 BGB Rn. 111). Dies überzeugt aber bei einer sich in der Vergangenheit über Jahre hin erstreckenden Rechtsverletzung, wie sie hier vorliegt, nicht. Denn der Unterlassungsanspruch ist allein auf die Zukunft ausgerichtet, betrifft aber vergangene Rechtsverletzungen nicht. Anders ist dies bei einem Widerrufsrecht bzw. einem Recht auf Gegendarstellung, wie es im Äußerungsrecht entwickelt wurde. Denn diese Rechtsbehelfe dienen gerade dazu, eine vergangene Rechtsgutverletzung soweit möglich ungeschehen zu machen. Deshalb können sie dazu führen, dass eine weitergehende Entschädigung zur Kompensation der Verletzung des Allgemeinen Persönlichkeitsrechts nicht erforderlich ist (BGH, Urt. v. 15.11.1994 – VI ZR 56/94, BGHZ 128, 1, Rn. 76, dort verneint). Vergleichbare Rechtsbehelfe stehen dem hiesigen Kläger nicht zur Verfügung. Insbesondere kommt dem Löschungsanspruch, der in seiner Funktion am ehesten dem Widerruf bzw. der Gegendarstellung entspricht, nicht die gleiche Genugtuungsfunktion zu, da die Umsetzung dieses Anspruchs für den Betroffenen unsicher bleibt. Denn der Kläger wird niemals sicher erfahren, dass seine von der Beklagten gespeicherten Off-Site-Daten vollständig gelöscht sind, während ein im Äußerungsrecht Betroffener nachvollziehen kann, ob ein Widerruf bzw. eine Gegendarstellung veröffentlicht wurden. d) Bei der Höhe der Entschädigung berücksichtigt das Gericht die unter b) genannten Aspekte. Einschränkend wirkt sich aus, dass die Betroffenheit des Klägers letztlich nur abstrakt festgestellt werden kann, was zwar, wie oben ausgeführt wurde, einer prozessualen Geltendmachung seiner Ansprüche nicht entgegensteht, dem Gericht aber nur eine eingeschränkte Bewertung des Ausmaßes des Eingriffs in das Recht der informationellen Selbstbestimmung ermöglicht. VI. Die Nebenforderungen sind teilweise begründet. 1. Verzugszinsen stehen dem Kläger erst ab Rechtshängigkeit gemäß §§ 291, 288 Abs. 1 BGB zu. Dass die Beklagte, die den Zugang des als Anlage K3 eingereichten Schreibens bestreitet, zuvor in Schuldnerverzug geraten ist, ist nicht nachgewiesen. 2. Der Freistellungsanspruch ist teilweise begründet. Rechtsgrundlage für die Erstattung der Rechtsanwaltskosten ist Art. 82 DSGVO, da es sich um Kosten handelt, die der Kläger aufgrund der rechtswidrigen Datenverarbeitung eingegangen ist. Ob die Beklagte das Schreiben der klägerischen Anwälte erhalten hat, kann für diesen Anspruch dahinstehen. Denn die vorgerichtliche Tätigkeit ist auch dann zu vergüten, wenn das Schreiben die Beklagte nicht erreicht haben sollte. Es ist auch nicht davon auszugehen, dass der Kläger seinen späteren Prozessbevollmächtigten einen unbedingten Klagauftrag erteilt hat. Das vorgerichtliche Schreiben diente nicht der Schaffung einer Klagvoraussetzung, sondern war darauf ausgerichtet, mit einer beigefügten Verpflichtungserklärung eine gerichtliche Auseinandersetzung zu vermeiden. Es gibt keinen Grund zu der Annahme, dass der Kläger seine Anwälte auch für den Fall, dass die Beklagte diese Erklärung unterzeichnet hätte, mit einer Klage beauftragt hat; insbesondere lässt der Umstand, dass die Klägervertreter in mehreren tausend Fällen ähnliche Schreiben verschickt haben, nicht den Schluss zu, dass ein außergerichtlicher Abschluss der einzelnen Verfahren nicht in Betracht gekommen wäre. Sofern die Klägervertreter hingegen nur bedingt, also für den Fall, dass eine vorgerichtliche Einigung nicht zustande kommt, mit einer Klage beauftragt worden waren, hinderte sie dies nicht, eine Gebühr nach Nr. 2300 VV RVG in Rechnung zu stellen (BGH, Urt. v. 26.2.2013 – XI ZR 345/10, BKR 2013, 283, Rn. 37 nach juris). Das Bestreiten der Beklagten, dass die mit dem Klagantrag geltend gemachten Kosten entstanden seien, steht dem Anspruch ebenfalls nicht entgegen. Dass die Gebühr angefallen ist, ergibt sich aus dem RVG. Soweit das Bestreiten darauf zielt, dass die Kosten bislang nicht bezahlt wurden, ist dies für den hier geltend gemachten Freistellungsanspruch keine Voraussetzung. Der Höhe nach ist eine 1,3-Gebühr nebst Kommunikationspauschale und Umsatzsteuer nach einem Gegenstandswert von 7.000 € ersatzfähig. VII. Die Kostenentscheidung beruht auf §§ 92 Abs. 1, 269 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus §§ 708 Nr. 11, 709, 711 ZPO. Die Streitwertentscheidung ergeht nach § 63 Abs. 2 GKG. Die Beklagte bietet internetbasierte Interaktionsplattformen, unter anderem das soziale Netzwerk I1, an. Für die Inanspruchnahme dieser Dienstleistung muss sich der künftige Nutzer unter Anerkenntnis der Nutzungsbedingungen (Anlage B2) anmelden. Er wird dabei auf die Datenschutzrichtlinie der Beklagten (Anlage K1) hingewiesen. Der Kläger nutzt das Netzwerk unter dem Benutzernamen „d.“ seit dem 6.10.2016. Die Nutzung dieses Netzwerks finanziert die Beklagte, sofern sich der Nutzer nicht für eine kostenpflichtige werbefreie Mitgliedschaft entscheidet, durch Werbung. Um diese zu personalisieren, verwendet sie neben den vom Nutzer zur Verfügung gestellten und den aus der Nutzung der eigenen Netzwerke generierten Daten auch solche aus Quellen außerhalb der eigenen Webseiten (sogenannte Off-Site-Daten). Diese gewinnt sie unter anderem mit den M. Business Tools. Dabei handelt es sich um Programme, die die Beklagte den Anbietern von Dritt-Webseiten und Apps zur Analyse des Besucherverkehrs und der Analyse von Werbekampagnen anbiete und die Daten wie u.a. Eingaben der Nutzer protokollieren. Die Drittanbieter können sich dafür entscheiden, diese Daten an die Beklagte zu übermitteln. Dabei treffen sie die in den Nutzungsbedingungen (Anlage B5) und dem Vertragszusatz (Anlage B9) getroffenen Vorgaben. Nach diesen Nutzungsbedingungen dürfen die Drittanbieter Daten, die über die dem Internet immanente Übertragung von Standarddaten hinausgehen, nur mit Einwilligung des Nutzers übermitteln; vertrauliche Daten dürfen danach gar nicht an die Beklagte übermittelt werden. Zunächst setzte die Beklagte als M. Business Tools Scripte ein, die in den Code der Webseite oder App integriert waren. Neuere Business Tools laufen hingegen auf den Servern der Website- oder App-Betreiber und können auch von einem technisch versierten Nutzer nicht mehr bemerkt werden. Die Beklagte teilt nicht mit, welche Drittanbieter ihre Business Tools nutzen. Die Beklagte leitet Daten, die sie bei Drittanbietern gewonnen hat, in die USA weiter. Sie erteilt Ihren Nutzern Auskunft über diese Daten und bietet ihnen an, die Information von ihrem Konto zu trennen. Diese Option kann auch für künftige Aktivitäten ausgewählt werden. Der Nutzer kann in den Datenschutzeinstellungen bestimmen, ob er der Verwendung von Informationen von Werbepartnern zur Anzeige zielgerichteter Werbung zustimmt. Der Kläger hat diese Zustimmung nicht erteilt. Der Kläger machte mit dem als Anlage K3 eingereichten anwaltlichen Schreiben unter anderem die hier streitgegenständlichen Ansprüche vorgerichtlich geltend. Mit Schriftsatz vom 2.1.2025 forderte er die Beklagte erneut zur Auskunft über die von ihm erhobenen Daten auf sowie darüber, auf welchen von ihm aufgelisteten Webseiten sie Business Tools einsetze. Die Beklagte antwortete mit dem als Anlage B8 eingereichten Schreiben. Er behauptet, die Business Tools der Beklagten seien auf mindestens 30-40 % der weltweiten Webseiten im Einsatz. Die Beklagte könne alle von ihr erhobenen Daten über ein „digital fingerprinting“ individuell zuordnen. Die von der Beklagten angebotenen Auskunfts-Tools lieferten nur einen geringen Anteil der über ihn gespeicherten Daten, nämlich nur diejenigen, die gewonnen worden seien, während er bei einem der Netzwerke der Beklagten eingeloggt gewesen sei. Er achte aber darauf, sich nach der Nutzung dieser Netzwerke wieder auszuloggen. Er habe das Gefühl, von der Beklagten in seinem Privatleben vollständig überwacht zu werden, sorge sich vor der Gefahr einer Manipulation und eines Kontrollverlusts nach Übermittlung seiner Daten in die USA und schlafe aufgrund der Datenspionage schlecht. Erst durch die Beratung seiner Prozessbevollmächtigten habe er von der Datenerfassung erfahren. Er sehe sich aufgrund der Marktmacht der Beklagten nicht in der Lage, seine Nutzerkonten zu löschen, da er dann einen Großteil seiner Kontakte verlöre. Er verbringe durchschnittlich acht Stunden am Tag im Internet, beschäftige sich dort unter anderem mit finanziellen, gesundheitlichen, politischen, rechtlichen Themen und nutze auch Dating-Seiten. Die Nutzung von Cookies lehne er soweit möglich ab. Er meint, die Beklagte sei Mitverantwortlicher im Sinn des Art. 28 DSGVO für die durch die M. Business Tools erfolgende Datenspeicherung. Die Datenverarbeitung sei nicht durch einen Rechtfertigungstatbestand des Art. 6 DSGVO gedeckt. Die Beklagte könne ihre Verantwortlichkeit für die Datenverarbeitung durch ihre Programme nicht auf die Drittanbieter auslagern, die diese Programme nutzten. Die Übertragung der Daten in unsichere Drittstaaten sei unzulässig. Es sei ihm nicht möglich, konkret dazu vorzutragen, auf welchen Seiten er durch die M. Business Tools ausspioniert werde, da der Einsatz dieser Tools für ihn nicht nachvollziehbar sei und die Beklagte nichts dazu mitteile, auf welchen Seiten diese Tools zum Einsatz kämen. Zudem würde eine Offenbarungspflicht einen erneuten tiefgreifenden Eingriff in seine Privat- und Intimsphäre darstellen. Für die von ihm mitgeteilte Internetnutzung spreche ein Anscheinsbeweis. Die Beklagte träfe eine sekundäre Darlegungslast hinsichtlich der von ihr im Verborgenen vorgenommenen Datenverarbeitung. Nach Rücknahme hilfsweise erhobener im Stufenverhältnis stehender Anträge auf Auskunft und Löschung beantragt der Kläger derzeit noch 1. festzustellen, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks ” I1” unter dem Benutzernamen „d.“ der Beklagten die Erfassung mit Hilfe der M. Business Tools, die Weiterleitung an die Server der Beklagten, die dortige Speicherung und anschließende Verwendung von folgenden personenbezogenen Daten nicht gestattet: a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d. h. - E-Mail der Klagepartei - Telefonnummer der Klagepartei - Vorname der Klagepartei - Nachname der Klagepartei - Geburtsdatum der Klagepartei - Geschlecht der Klagepartei - Ort der Klagepartei - Externe IDs anderer Werbetreibender (von der M. Ltd. „external_ID” genannt) - IP-Adresse des Clients - User-Agent des Clients (d. h. gesammelte Browserinformationen) - interne Klick-ID der M. Ltd. - interne Browser-ID der M. Ltd. - Abonnement-ID - Lead-ID - anon_id sowie folgende personenbezogene Daten der Klagepartei b) auf Webseiten - die URLs der Webseiten samt ihrer Unterseiten - der Zeitpunkt des Besuchs - der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist), - die von der Klagepartei auf der Webseite angeklickten Buttons sowie - weitere von der M. „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren c) in mobilen Dritt-Apps - der Name der App sowie - der Zeitpunkt des Besuchs - die von der Klagepartei in der App angeklickten Buttons sowie - die von der M. „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren; 2. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten und –Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten der Klagepartei gem. dem Antrag zu 1. mit Hilfe der M. Business Tools zu erfassen, an die Server der Beklagten weiterzuleiten, die Daten dort zu speichern und anschließend zu verwenden; 3. die Beklagte zu verpflichten, sämtliche unter dem Antrag zu 1 a., b. und c. aufgeführten, seit dem 25.05.2018 bereits verarbeiteten personenbezogenen Daten der Klagepartei ab sofort unverändert am gespeicherten Ort zu belassen, d.h. insbesondere diese erst einen Monat nach rechtskräftigem Abschluss des Verfahrens zu löschen, und diese bis zu diesem Zeitpunkt nicht zu verändern, intern nicht weiter zu verwenden, und nicht an Dritte zu übermitteln; 4. die Beklagte zu verpflichten, sämtliche gem. dem Antrag zu 1 a. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten der Klagepartei einen Monat nach rechtskräftigem Abschluss des Verfahrens vollständig zu löschen und der Klagepartei die Löschung zu bestätigen sowie sämtliche gem. dem Antrag zu 1 b. sowie c. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen; 5. die Beklagte zu verurteilen, an die Klagepartei eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 5.000,00 Euro beträgt, nebst Zinsen i. H. v. fünf Prozentpunkten über dem Basiszinssatz seit dem 20.10.2023, zu zahlen; 6. die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten i.H.v. 1.295,43 Euro freizustellen. Die Beklagte beantragt, die Klage abzuweisen. Sie behauptet, Zweck der Business Tools sei es, Drittunternehmen die Möglichkeit zu eröffnen, ihre Reichweite zu verbessern, Menschen zu erreichen, die ihre Produkte und Dienstleistungen nutzen könnten, und die Effektivität ihrer Werbekampagnen zu analysieren. Sie filtere unzulässige Daten, die von diesen Drittunternehmen über die Business Tools an sie weitergeleitet würden, heraus. Entsprechend den Nutzungsbestimmungen der M. Business Tools speichere sie die Kontaktinformationen, die sie zum Abgleich mit der Nutzer-ID verwende, in der Regel nur 48 Stunden, die Event-Daten maximal zwei Jahre lang. Sie habe keine Aufzeichnungen über den Eingang des als Anlage K3 eingereichten vorgerichtlichen Schreibens. Sie bestreitet, dass unbestimmte, vom Kläger nicht genannte Drittwebseiten oder Apps die im Klagantrag zu 1. genannten Daten an sie übermittelt hätten. Nicht jede Webseite oder App übertrage alle dort genannten Datenkategorien. Sie meint, die Anträge des Klägers seien weitgehend bereits unzulässig, in jedem Fall aber unbegründet. Die Vorwürfe des Klägers beschränkten sich prozessual auf die Datenverarbeitung zu Werbezwecken, da der Kläger nicht ausgeführt habe, gegen welche weiteren Zwecke der Datenverarbeitung er sich wenden wolle. Ohne Angabe des Zweckes könne sie aber nichts zur Rechtfertigung der Speicherung vortragen. Für die Erhebung der Daten über die M. Business Tools seien die Betreiber der Webseiten und Apps, die diese einbänden, maßgeblich verantwortlich. Sie, die Beklagte, stütze die Verwendung von Off-Site-Daten zu Werbezwecken auf eine Einwilligung des Nutzers. Wenn eine solche nicht vorliege, verarbeite sie die über die M. Business Tools übersandten Daten nicht zu diesem Zweck. Der Vortrag des Klägers zu etwaigen Rechtsverletzungen sei nicht hinreichend konkret, damit sie sich damit auseinandersetzen könne, da der Kläger nicht mitteile, welche Webseiten er besucht habe. Eine sekundäre Darlegungslast treffe sie nicht, da diese voraussetze, dass die darlegungsbelastete Partei keine Möglichkeit zur weiteren Sachaufklärung habe. Die Übermittlung von Daten in die USA sei aufgrund der aktuellen regulatorischen Rahmenbedingungen zulässig. Auch in der Vergangenheit sei sie gutgläubig davon ausgegangen, hierzu aufgrund der erst später für unwirksam erklärten Rechtsakte berechtigt zu sein. Die Übermittlung von Daten an Dritte, deren Inhalte auf einer Webseite eingebunden würden, sei ein Grundprinzip des Internets. Der Kläger habe weder eine Rechtsverletzung noch einen hierauf beruhenden Schaden dargelegt. Auf Fehlvorstellungen beruhende Befürchtungen könnten keinen Anlass für einen Schadensersatzanspruch nach Art. 82 DSGVO bilden. Die vorgerichtliche anwaltliche Tätigkeit sei nicht erforderlich gewesen, da der Kläger die begehrten Informationen selbst habe abrufen können. Die Klage wurde am 21.1.2024 zugestellt.