28 O 589/23

1. Die Beklagte wird verurteilt, die im Folgenden aufgeführten, seit dem 31.12.2018 bereits verarbeiteten personenbezogenen Daten ab sofort unverändert am gespeicherten Ort zu belassen, d. h. diese erst zu löschen, wenn die Klagepartei sie hierzu auffordert, spätestens jedoch sechs Monate nach rechtskräftigem Abschluss des Verfahrens, und diese bis zu diesem Zeitpunkt nicht zu verändern, intern nicht weiter zu verwenden, und nicht an Dritte weiterzugeben: a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d. h. E-Mail der Klagepartei Telefonnummer der Klagepartei Vorname der Klagepartei Nachname der Klagepartei Geburtsdatum der Klagepartei Geschlecht der Klagepartei Ort der Klagepartei Externe IDs anderer Werbetreibender (von der D. I. „external_ID” genannt) IP-Adresse des Clients User-Agent des Clients (d. h. gesammelte Browserinformationen) interne Klick-ID der D. I. interne Browser-ID der D. I. Abonnement-ID Lead-ID anon_id die Advertising ID des Betriebssystems Android (von der D. I. „Q.“ genannt) sowie folgende personenbezogene Daten der Klagepartei b) auf Webseiten die URLs der Webseiten samt ihrer Unterseiten der Zeitpunkt des Besuchs der „O.“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist), die von der Klagepartei auf der Webseite angeklickten Buttons sowie weitere von der D. „J.“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren c) in mobilen Dritt-Apps der Name der App sowie der Zeitpunkt des Besuchs die von der Klagepartei in der App angeklickten Buttons sowie die von der D. „J.“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren. 2. Die Beklagte wird verurteilt, die zuvor unter 1.a) aufgeführten, seit dem 31.12.2018 bereits gespeicherten personenbezogenen Daten der Klagepartei auf ihre Aufforderung hin, spätestens jedoch sechs Monate nach rechtskräftigem Abschluss des Verfahrens, vollständig zu löschen und der Klagepartei die Löschung zu bestätigen sowie sämtliche unter 1.b) sowie 1.c) aufgeführten seit dem 31.12.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren. 3. Die Beklagte wird verurteilt, an die Klagepartei 2.000 € nebst Zinsen i. H. v. fünf Prozentpunkten über dem Basiszinssatz seit dem 19.01.2024 zu zahlen. 4. Die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten i.H.v. 453,87 € freizustellen. 5. Im Übrigen wird die Klage abgewiesen. 6. Die Kosten des Rechtsstreits tragen der Kläger zu 61 % und die Beklagte zu 39 %. 7. Das Urteil ist vorläufig vollstreckbar, für den Kläger bezüglich des Tenors zu 1 und 2 jeweils gegen Sicherheitsleistung i.H.v. 1.200 € und für den Kläger im Übrigen gegen Sicherheitsleistung i.H.v. 110% des jeweils zu vollstreckenden Betrages. Die Klägerin kann die Vollstreckung durch Sicherheitsleistung i.H.v. 110 % des auf Grund des Urteils vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit leistet i.H.v. 110 % des jeweils zu vollstreckenden Betrages. I. Tatbestand Die Beklagte ist Betreiberin des sozialen Netzwerks „C.“ für in der Europäischen Union ansässige Nutzer. Dieses Netzwerk ermöglicht es den Nutzern, persönliche Profile zu erstellen und in dem Umfang ihrer so erstellten Präsenz in diesem Netzwerk mit anderen Nutzerinnen und Nutzern in Kontakt zu treten. Der Kläger nutzt dieses Netzwerk unter dem Benutzernamen „W.“ seit dem 31.12.2018. Als Gegenleistung wird dem Kläger während der Nutzung Werbung angezeigt, die auf seinen Interessen basierte, die sich aus seiner Tätigkeiten auf der Plattform ergeben. Bei der Registrierung eines C. Kontos müssen Nutzer wie der Kläger den Nutzungsbedingungen der Beklagten zustimmen. Hinsichtlich des Inhalts der Nutzungsbedingungen wird auf die Anlage B 2 verwiesen. Die Registrierungsmaske enthält zudem einen Link zur Datenschutzrichtlinie der Beklagten. Hinsichtlich deren Inhalt wird auf die Anlage k1 verwiesen. Die Beklagte stellt den Betreibern von Drittwebseiten und Dritt-Apps die sogenannten „D. P. N.“ zur Verfügung, über welche das Verhalten von Nutzern der Drittwebseiten bzw. Dritt-Apps mittels Skripten im Webseitencode (z.B. „D. V.“) oder auf den Betreiberservern (z.B. mittels „Conversions API“) analysiert werden kann. Drittunternehmen, die D. P. N. nutzen wollen, müssen hierfür den „Nutzungsbedingungen für D. P. N.“ (Anlage B 5) der Beklagten zustimmen. Die Betreiber der Drittwebseiten und Dritt-Apps, welche die „D. P. N.“ nutzen, geben die erhobenen Daten der Nutzer an die Beklagte weiter. Die Weiterleitung dieser sog. Off-Site-Daten an die Beklagte erfolgt unabhängig davon, ob ein Nutzer aktuell bei seinem C.-Account angemeldet ist. Die Off-Site-Daten werden automatisch mit dem C.-Konto des Nutzers verknüpft, wobei der Nutzer aufgrund des von seinem Browser oder Endgerät hinterlassenen digitalen Fingerabdrucks mit einer Wahrscheinlichkeit von über 99% erkannt werden kann. Für den durchschnittlichen Internetnutzer ist nicht erkennbar, ob die jeweilige Webseite mit einem D. P. Tool ausgestattet worden ist. Die Beklagte speichert die den C.-Nutzern zugeordneten Datensätze. Sie nutzt die Daten unter anderem, um den C.-Nutzern auf deren jeweiligen Aktivitäten außerhalb der Plattform basierende Werbung anzuzeigen. Durch Konfiguration seines C.-Kontos kann der jeweilige Nutzer seine Einwilligung in diese Verknüpfung verweigern mit der Folge verweigern, dass die Off-Site-Daten nicht für die Anzeige personalisierter Werbung genutzt werden. Über die Einstellung „Deine Aktivitäten außerhalb der D.-Technologien“ kann jeder Nutzer eine Zusammenfassung der mit seinem Konto verknüpften Informationen über seine Aktivitäten auf Apps und/oder Webseiten, die von Drittunternehmen mit D. geteilt wurden, abrufen. Dabei werden aber nur Seiten angezeigt, die besucht wurden während der Nutzer auf dem gleichen Gerät bei einem Netzwerk der D. Ltd eingeloggt war. Auch kann die bereits erfolgte Verknüpfung zwischen Off-Site-Daten und dem C.-Konto in den Einstellungen zur Datenverarbeitung durch die Option „ Verknüpfung mit künftigen Aktivitäten aufheben “ wieder getrennt werden. Eine Konfiguration des C.-Kontos, welches zur Löschung der Off-Site-Daten führte, bietet die Beklagte hingegen nicht an. In der Rubrik Einstellungen können die Nutzerinnen und Nutzer unter „optionale Cookies“ entscheiden, ob sie den Einsatz von „D. Cookies auf anderen Apps und Webseiten“ erlauben. Der Kläger behauptet, die Beklagte mit anwaltlichem Schreiben vom 31.07.2023 (Anlage K 3) zur Auskunft, zur Löschung von Daten sowie zur Zahlung eines Schadensersatzes in Höhe von 5.000 € aufgefordert zu haben. Mit Schreiben vom 23.10.2024 (Anlage B8) machte die Beklagte nähere Ausführungen zur erfolgten Datenverarbeitung. Auf den Inhalt des Schreibens wird vollumfänglich Bezug genommen. Der Kläger trägt vor, er habe das Gefühl, bei der Nutzung des Internets lückenlos von der Beklagten überwacht zu werden und befürchte, die Beklagte werde künftig in der Lage sein, eine Analyse seiner Interessen, Reizthemen, Hoffnungen und Sorgen durchzuführen, die schlimmstenfalls genutzt werden könne, um ihn zu manipulieren. Er besuche regelmäßig einige der in Anlage K 14 aufgeführten Webseiten der folgenden Kategorien: Nachrichten und Politik, Finanzen, Gesundheit, Liebe und Sexualität, Unterhaltung, Freizeit und Reisen, Shopping und Sonstiges, auf denen „D. V.“ ausfindig gemacht werden konnten. Er ist der Ansicht, dass die Verarbeitung seiner personenbezogenen Daten gem. dem Antrag zu 1. seit dem 25.05.2018 rechtswidrig gewesen sei und ihm ein entsprechender Feststellunganspruch ab dem 31.12.2028 zustehe. Er habe gegen die Beklagte zudem einen Anspruch darauf, dass die von ihr erhobenen Daten unverändert am gespeicherten Ort belassen werden, bis er deren Löschung verlange. Darüber hinaus stünden ihm gegen die Beklagte wegen der rechtswidrigen Verarbeitung Ansprüche auf Unterlassung und auf Löschung bzw. Anonymisierung zu. Überdies habe er einen Schadensersatzanspruch wegen immaterieller Schäden. Dabei stehe ihm ein Anspruch auf Geldentschädigung gemäß § 823 Abs. 1 BGB (auch § 280 Abs. 1 BGB) i. V. m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG sowie ein Anspruch auf immateriellen Schadenersatz aus Art. 82 DSGVO zu. Schließlich könne er von der Beklagten auch Freistellung von seinen vorgerichtlichen Anwaltskosten verlangen. Der Kläger beantragt zuletzt, 1. festzustellen, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks ”C.” unter dem Benutzernamen „W.“ die Verarbeitung von folgenden personenbezogenen Daten in folgendem Umfang seit dem 31.12.2018 nicht gestattet: a. auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten derKlagepartei, ob direkt oder in gehashter Form übertragen, d. h. E-Mail der Klagepartei Telefonnummer der Klagepartei Vorname der Klagepartei Nachname der Klagepartei Geburtsdatum der Klagepartei Geschlecht der Klagepartei Ort der Klagepartei Externe IDs anderer Werbetreibender (von der D. I.„external_ID” genannt) IP-Adresse des Clients User-Agent des Clients (d. h. gesammelte Browserinformationen) interne Klick-ID der D. I. interne Browser-ID der D. I. Abonnement-ID Lead-ID anon_id die Advertising ID des Betriebssystems Android (von der D. I. „Q.“ genannt) sowie folgende personenbezogene Daten der Klagepartei b. auf Webseiten die URLs der Webseiten samt ihrer Unterseiten der Zeitpunkt des Besuchs der „O.“ (die Webseite, über die der Benutzer zur aktuellenWebseite gekommen ist), die von der Klagepartei auf der Webseite angeklickten Buttons sowie weitere von der D. „J.“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren c. in mobilen Dritt-Apps der Name der App sowie der Zeitpunkt des Besuchs die von der Klagepartei in der App angeklickten Buttons sowie die von der D. „J.“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren; 2. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten gem. des Antrags zu 1. zu verarbeiten; 3. die Beklagte zu verpflichten, sämtliche unter dem Antrag zu 1 a., b. und c. aufgeführten, seit dem 31.12.2018 bereits verarbeiteten personenbezogenen Daten ab sofort unverändert am gespeicherten Ort zu belassen, d. h. insbesondere diese erst zu löschen, wenn die Klagepartei sie hierzu auffordert, spätestens jedoch sechs Monate nach rechtskräftigem Abschluss des Verfahrens, und diese bis zu diesem Zeitpunkt nicht zu verändern, intern nicht weiter zu verwenden, und nicht an Dritte weiterzugeben; 4. die Beklagte zu verpflichten, die zuvor unter 1.a) aufgeführten, seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten der Klagepartei auf ihre Aufforderung hin, spätestens jedoch sechs Monate nach rechtskräftigem Abschluss des Verfahrens, vollständig zu löschen und der Klagepartei die Löschung zu bestätigen sowie sämtliche unter 1.b) sowie 1.c) aufgeführten seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren; 5. die Beklagte zu verurteilen, an die Klagepartei eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 5.000,00 Euro beträgt, nebst Zinsen i. H. v. fünf Prozentpunkten über dem Basiszinssatz seit dem 29.08.2023, zu zahlen; 6. die Beklagte zu verurteilen, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten i.H.v. 1.295,43 € freizustellen. Die Beklagte beantragt, die Klage abzuweisen. Sie trägt vor, dass ihre Verarbeitung von Off-Site-Daten rechtmäßig sei. Die Verantwortung, die Einwilligung zur Übermittlung von Off-Site-Daten einzuholen, liege beim Betreiber der Drittwebsite oder App. Die Beklagte sei weder dafür verantwortlich, insoweit eine Einwilligung einzuholen, noch wäre dies technisch möglich. Soweit der Kläger sich dagegen wende, dass die Off-Site-Daten für personalisierte Werbung genutzt würden („streitgegenständliche Datenverarbeitung“), erfolge dies bei dem Kläger gerade nicht, nachdem er seine Einwilligung nicht erteilt habe. Sofern der Kläger sich gegen andere Verarbeitungszwecke wenden sollte, müsse er benennen, gegen welche Verarbeitungszwecke er sich richte. Sensible Daten nach Art. 9 DSGVO würden nicht an die Beklagte übermittelt, nachdem der Vertrag mit den Drittunternehmen diesen die Übermittlung solcher Daten ausdrücklich verbiete. Außerdem seien die Systeme der Beklagten so ausgestaltet, dass sie solche Daten herausfilterten. Für die Datenübermittlung der Beklagten zwischen der EU und den USA könne sich die Beklagte auf den Datenschutzrahmen EU-USA („DSR“) stützen. Im Zeitraum vom 25.05.2018 bis zum 09.07.2023 sei die Übermittlung nicht rechtswidrig gewesen, da die Entscheidung des EuGH zum „Privacy Shield“-Abkommens nicht zurückwirke. Anschließend habe sich die Beklagte vorbehaltlich rechtlicher Garantien auf Standardvertragsklauseln stützen dürfen. Sie ist der Ansicht, dass die Anträge des Klägers teilweise bereits mangels Bestimmtheit unzulässig seien, jedenfalls aber unbegründet. Wegen der weiteren Einzelheiten wird auf die Schriftsätze der Parteien nebst Anlagen Bezug genommen. Entscheidungsgründe Die Klage hat teilweise Erfolg. I. Der Klageantrag zu 1 (Feststellungsantrag) ist unzulässig. Es fehlt am Vorliegen eines feststellungsfähigen Rechtsverhältnisses im Sinne von § 256 Abs. 1 ZPO. Gegenstand einer Feststellungsklage kann neben der Echtheit einer Urkunde nur das Bestehen oder Nichtbestehen eines Rechtsverhältnisses sein. Ein Rechtsverhältnis in diesem Sinne setzt eine bestimmte, sich aus dem Vortrag der Klägerin ergebende Rechtsbeziehung zwischen Personen oder einer Person und einer Sache voraus. Hiernach können zwar auch einzelne, aus einem Rechtsverhältnis sich ergebende Rechte und Pflichten zulässiger Klagegegenstand sein. Die Rechtswidrigkeit eines Verhaltens ist hingegen kein feststellungsfähiges Rechtsverhältnis (BGH, Urteil vom 27.03.2015 – V ZR 296/13). Der Klageantrag zu 1 ist darauf gerichtet, festzustellen, dass der Nutzungsvertrag der Parteien zur Nutzung des von der Beklagten betriebenen sozialen Netzwerks ”C.s” der Beklagten die Erfassung mit Hilfe der D. P. N., die Weiterleitung an die Server der Beklagten, die dortige Speicherung und anschließende Verwendung von bestimmten personenbezogenen Daten nicht gestattet. Damit begehrt der Kläger im Kern die Feststellung der Rechtswidrigkeit eines Verhaltens. Soweit der Kläger in der Replik vorbringt, er begehre die Feststellung der Unwirksamkeit von Vertragsklauseln der Beklagten, ergibt sich dies schon nicht aus der Fassung des Klageantrags. Im Übrigen würde auch die Unwirksamkeit einer AGB kein feststellungsfähiges Rechtsverhältnis begründen, sondern lediglich eine abstrakte Vorfrage, die Voraussetzung für bestimmte Rechtsfolgen sein kann (BGH, Urteil vom 24.03.2010 – VIII ZR 304/08; in diesem Sinne LG Stuttgart (27. Zivilkammer), Urteil vom 05.02.2025 – 27 O 190/23). Dem Antrag fehlt zudem das Feststellungsinteresse. Der Kläger hat zwar dargelegt, dass er die in der Anlage K 14 aufgeführten Webseiten teilweise regelmäßig besuche. Er müsste jedoch konkret vortragen, welche Daten auf welcher von ihm besuchten Internetadresse an die Beklagte weitergeleitet werden bzw. welche Webseiten er in Zukunft hinreichend wahrscheinlich besuchen wird und welche Daten diese Webseiten konkret weiterleiten. Zudem bleibt unklar, ob die im Antrag konkret bezeichneten Daten überhaupt betroffen sind bzw. in Zukunft betroffen sein können. Dass z.B. immer die E-Mail oder das Geschlecht von der Drittunternehmerseite überhaupt erfasst werde, ist nicht lebensnah. So würden beim Besuch z.B. der Seite „Z.“ diese Daten wohl nicht erlangt. Das Verlangen einer genauen Darlegung belastet den Kläger auch nicht unzumutbar. Insbesondere hätte es ihm freigestanden, im Wege der Stufenklage gegen die Beklagte vorzugehen, um in erster Stufe per Auskunftsanspruch Gewissheit darüber zu erlangen, welche konkreten Datenpunkte aus welcher Quelle von der Beklagten erfasst wurden. Derart hätte sodann auf zweiter oder dritter Stufe konkret überprüft werden können, ob insoweit eine Wiederholungsgefahr bestehen kann. Dies würde den Rechtsstreit im Übrigen auch auf konkrete und der Logik des Zivilprozesses entsprechende Tatsachen- und Rechtsfragen zurückführen, anstatt des hier von der Klägerseite angestrebten Weges, gleichsam allgemeinverbindlich das Geschäftsmodell der Beklagten fast ohne konkreten Einzelfallbezug zum Kläger zu Prüfung zu stellen – ein Unterfangen, für welches der Zivilprozess nicht das geeignete Instrumentarium vorsieht (LG Lübeck, Urt. v. 10.01.2025 – 15 O 269/23). II. Der Klageantrag zu 2 (Unterlassungsantrag) ist unzulässig, da er nicht hinreichend bestimmt ist. Ein Klageantrag ist hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) klar abgegrenzt ist, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind, das Risiko des eventuell teilweisen Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird. Es genügt nicht, sich auf gesetzliche Vorschriften zu berufen, die den erhobenen Anspruch vorsehen, vielmehr müssen die sich aus den Normen ergebenden Konsequenzen im Einzelfall von der klagenden Partei bei der Formulierung ihres Klageantrags berücksichtigt werden (BGH, Urt. v. 21.11.2017 – II ZR 180/15, juris Rn. 8). Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen sind grundsätzlich als zu unbestimmt und damit unzulässig anzusehen (vgl. BGH, NJW 2000, 1792). Abweichendes kann gelten, wenn entweder bereits der gesetzliche Verbotstatbestand selbst entsprechend eindeutig und konkret gefasst oder der Anwendungsbereich einer Rechtsnorm durch eine gefestigte Auslegung geklärt ist, sowie auch dann, wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert (BGH, GRUR 2007, 607). Die Bejahung der Bestimmtheit setzt in solchen Fällen allerdings grundsätzlich voraus, dass sich das mit dem selbst nicht hinreichend klaren Antrag Begehrte im Tatsächlichen durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht in Frage gestellt ist, sondern sich der Streit der Parteien ausschließlich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt (BGH, NJW 1995, 3187). Vorliegend bleibt unklar, was konkret mit „auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten gem. des Antrags zu 1. zu verarbeiten“ gemeint ist und was somit der Beklagten konkret untersagt werden soll. Die Definition der „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO, auf die der Kläger hier Bezug nimmt, umfasst generalklauselartig verschiedenste Vorgänge oder Vorgangsreihen im Zusammenhang mit personenbezogenen Daten von der Erhebung, Speicherung, Verknüpfung und Verwendung bis hin zu deren Löschung. Soweit sich dem Antrag eine Konkretisierung lässt, indem auf die Verarbeitung personenbezogener Daten „auf Drittseiten und Apps außerhalb der Netzwerke der Beklagten“ abgestellt wird, führt dies nicht zu einer hinreichenden Bestimmtheit. Denn dies spricht nach dem Wortlaut dafür, dass es dem Kläger hier (nur) um Datenverarbeitungsvorgänge geht, die auf Drittwebsites und Apps vorgenommen werden. Aus der Klagebegründung sowie der weiteren Schriftsätze des Klägers ergibt sich jedoch, dass der Kläger auch eine Vielzahl weiterer Verarbeitungshandlungen, unter anderem die Speicherung, Weiterleitung in Drittländer, Verknüpfung und Verwendung für die Anzeige personalisierter Werbung rügt. Im Übrigen bleibt auch unklar, welche Verarbeitungshandlungen auf Drittwebsites und Apps der Beklagte untersagt wissen möchte. Auch insoweit erscheinen verschiedene Anknüpfungspunkte denkbar, so etwa das Zurverfügungstellen der D. P. N. durch die Beklagte, die Datenerhebung und -übermittlung durch Drittunternehmen an die Beklagte sowie die Entgegennahme der Daten durch die Beklagte. III. Der Klageantrag zu 3 (Unterlassung weiterer Verarbeitung) ist zulässig und begründet. 1. Der Antrag ist zulässig. Eine unzulässige außerprozessuale Begründung liegt mit der gewählten Formulierung „wenn die Klagepartei sie hierzu auffordert, spätestens jedoch sechs Monate nach rechtskräftigem Abschluss des Verfahrens“ nicht vor. Mit dieser Formulierung wird nicht die Antragstellung an eine Bedingung geknüpft. Vielmehr soll die Verpflichtung der Beklagten nicht erst künftig, sondern sofort eintreten und lediglich ihre Dauer durch eine auflösende Bedingung begrenzt sein. 2. Der Antrag ist auch begründet. Dem Kläger steht der geltend gemachte Unterlassungsanspruch aus Artt. 6, 9 DSGVO i.V.m. Art. 18 Abs. 1 b) DSGVO zu. Danach hat die betroffene Person das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt. a) Die Beklagte verarbeitet die Daten des Klägers unrechtmäßig. aa) Sie ist Verantwortliche gemäß Art. 4 Nr. 7 DSGVO. Durch die Einbindung der D. P. N. auf Webseiten und in Apps Dritter entscheidet sie – ggf. gemeinsam mit anderen – über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten. Offen bleiben kann, ob die Beklagte entsprechend ihrem Vorbringen allenfalls gemeinsam Verantwortliche mit den Drittanbietern nach Art. 26 DSGVO wäre, an die sie die Verantwortung für die Erfüllung ihrer datenschutzrechtlichen Verpflichtungen delegieren will. Eine solche Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO ist nämlich allenfalls im Innen-, nicht jedoch im Außenverhältnis zum Nutzer relevant. Vielmehr bedarf es für jeden der Verantwortlichen einer Rechtsgrundlage im Sinne des Art. 5 Abs. 1 a) DSGVO zur Verarbeitung personenbezogener Daten. Keiner der Verantwortlichen kann sich darauf zurückziehen, für das Anspruchsbegehren der betroffenen Person nicht zuständig zu sein. Art. 26 Abs. 3 DSGVO entspricht vielmehr einer gesamtschuldnerischen Haftung wie in § 421 BGB (Kühling/Buchner/Hartung, DSGVO BDSG 4. Aufl. 2024, Art. 26 Rn. 1 m.w.N.; Paal/Pauly, DSGVO BDSG 3. Aufl. 2021, At. 26 Rnrn. 36-26a m.w.N.). Zudem ist die Beklagte allein Verantwortliche für das Empfangen der von den Drittanbietern erhobenen Daten, für das Speichern dieser Daten auf eigenen Servern und deren – wie auch immer geartete – weitere Verwendung (LG Ellwangen, 2 O 222/24, S. 33). bb) Die Beklagte hat dadurch, dass sie unstreitig eine Speicherung sämtlicher Daten vorgenommen hat, die die P. N. auf Drittseiten erheben und an die Beklagte senden, Daten i.S.d. DSGVO verarbeitet. cc) Dies trifft auch auf personenbezogene Daten des Klägers zu. Der Kläger hat in seiner persönlichen Anhörung vorgetragen, er besuche regelmäßig einige der in Anlage K 14 aufgeführten Webseiten wie z.B. die Internetseiten M., X., K., L. und R.. Dieses Vorbringen gilt als seitens der Beklagten zugestanden. Ihr im Termin erfolgtes Bestreiten mit Nichtwissen ist unzulässig. Da es unstreitig ist, dass die Beklagte die ihr von Drittanbietern, auf deren Seiten D. V. eingebunden ist, übermittelten personenbezogenen Daten des Klägers verarbeitet, wäre es ihr aufgrund von Wahrnehmungen aus ihrer Sphäre möglich und hätte es ihr daher oblegen, konkret dazu vorzutragen, dass die Angaben des Klägers zu den von ihm besuchten Seiten, die Daten an die Beklagte übermitteln, unzutreffend sind (vgl. LG Mainz, Urt. v. 25.02.2025 – 9 O 14/24, S. 9). dd) Die Verarbeitung erfolgt auch rechtswidrig. Mit der streitgegenständlichen Datenverarbeitung verstößt die Beklagte auch gegen die DSGVO. Insbesondere werden Art. 5 Abs. 1 b) und c) DSGVO verletzt. Die Beklagte beruft sich allein auf das Vorliegen einer Einwilligung des Klägers gemäß Art. 6 Abs. 1 a) DSGVO, trägt aber zu einer solchen Einwilligung nichts vor. Die vorgetragene Einwilligung zu Werbezwecken ist nicht erheblich, da sich der Kläger nicht gegen die Verwendung seiner Daten zu diesen Zwecken wendet, sondern gegen deren Erhebung und Speicherung zu weitergehenden Zwecken als solche. Entsprechend spielt es auch keine Rolle, dass der Kläger nicht dazu vorgetragen hat, welche konkreten über die Nutzung zum Zwecke der Personalisierung von Werbung hinausgehenden Verarbeitungszwecke er angreift. Die streitgegenständliche Datenverarbeitung liegt nämlich gerade in dem Vorhalten der personenbezogenen Daten des Klägers an sich. Soweit die Beklagte die Verarbeitung der Daten zum Zwecke der Bereitstellung personalisierter Werbung als „streitgegenständliche Datenverarbeitung“ zu definieren versucht, verengt sie sachwidrig den vom Kläger zu bestimmenden und eindeutig bestimmten Streitgegenstand (vgl. nur LG Ellwangen, 2 O 222/24, Seite 25). ee) Der Kläger hat auch ein Interesse an der Einschränkung der Nutzung, weil es denkbar erscheint, dass er das Vorhandensein der Daten bei der Beklagten bzw. deren rechtswidrige Verarbeitung noch nachweisen muss (vgl. BeckOK/Worms, Datenschutzrecht, 50. Ed. Stand 01.11.2024 Art. 18 Rn.39). ff) Die verlangte Unterlassung der weiteren Verarbeitung ist auch als Einschränkung der Verarbeitung i.S.d. Art. 18 Abs. 1 b) DSGVO zu verstehen. Das Begehren des Klägers geht dahin, dass keinerlei über das bloße Gespeichertlassen der Daten hinausgehende Verwendung mehr stattfinden soll. IV. Der Klageantrag zu 4 (Datenlöschung bzw. -anonymisierung) ist zulässig und begründet. Gemäß Art. 17 Abs. 1 b) und d) DSGVO hat der Kläger gegen die Beklagte einen Anspruch auf Löschung ihrer im Klageantrag zu 1a) genannten personenbezogenen Daten. Hiernach kann die betroffene Person die unverzügliche Löschung ihrer personenbezogenen Daten verlangen, wenn sie ihre Einwilligung widerruft, auf die sich die Verarbeitung stützt, und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt (Art. 17 Abs. 1b DSGVO), oder wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden (Art. 17 Abs. 1 d DSGVO). Eine unrechtmäßige Verarbeitung der personenbezogenen Daten des Klägers durch die Beklagte liegt vor (siehe oben unter III.2). Soweit der Kläger Anonymisierung seiner personenbezogenen Daten verlangt, kann er sich auf Art. 18 Abs. 1 b) DSGVO stützen (siehe oben unter III.2). V. Der Antrag zu 5. (Zahlung) ist zulässig und teilweise begründet. 1. Der Kläger hat gegen die Beklagte aus Art. 82 Abs. 1 DSGVO einen Anspruch auf Zahlung eines immateriellen Schadenersatzes in Höhe von 2.000 €. Der Kläger hat aufgrund eines Verstoßes der Beklagten gegen die Datenschutzgrundverordnung einen Schaden erlitten. Wie ausgeführt, steht zur Überzeugung des Gerichts fest, dass im Rahmen von E. P. N. auf Drittwebseiten oder Apps angefallene Daten des Klägers an die Beklagte übermittelt worden sind und von dieser gespeichert werden, ohne dass hierfür ein Rechtfertigungstatbestand vorläge. Es liegt auch ein ersatzfähiger Schaden im Sinne von Art. 82 Abs. 1 DSGVO vor. Der Kontrollverlust des Klägers über seine Daten und die damit verbundene Sorge des Klägers haben zu einem immateriellen Schaden im Sinne von Art. 82 DSGVO geführt. Der Bundesgerichtshof hat im Urteil vom 18.11.2024 (VI ZR 10/24) insofern folgendes ausgeführt: „Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., EuGH, Urteile vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 31 – PS GbR; vom 25. Januar 2024 – C-687/21, CR 2024,160 Rn. 64 – MediaMarkt-Saturn; vom 4. Mai 2023 – C-300/21, VersR 2023, 920 Rn. 30 und 44 – Österreichische Post). Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteile vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 25 – PS GbR; vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 34 – juris; vom 4. Mai 2023 – C-300/21, VersR 2023, 920 Rn. 42 – Österreichische Post). Weiter hat der Gerichtshof ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat (EuGH, Urteile vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 26 – PS GbR; vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 36 – juris; vom 4. Mai 2023 – C-300/21, VersR 2023, 920 Rn. 51 – Österreichische Post). Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (EuGH, Urteile vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 27 – PS GbR; vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 36 – ju – ris). Schließlich hat der Gerichtshof in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO (vgl. ferner ErwG 75 DSGVO) klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteile vom 4. Oktober 2024 – C-200/23, juris Rn. 145,156 i.V.m. 137-Agentsia po vpisvaniyata; vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 33 – PS GbR; vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 42 – juris; vgl. zuvor bereits EuGH, Urteile vom 25. Januar 2024 – C-687/21, CR 2024, 160 Rn. 66 – MediaMarktSaturn; vom 14. Dezember 2023 – C-456/22, NZA 2024, 56 Rn. 17-23 – Gemeinde Ummendorf sowie – C-340/21, NJW 2024, 1091 Rn. 82 – Natsionalna agentsia za prihodite). Im ersten Satz des 85. Erwägungsgrundes der DSGVO heißt es, dass ”[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“. Aus dieser beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht nach der Rechtsprechung des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen Verlust der Kontrolle („the mere loss of control“, „la simple perte de contrôle“) über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (EuGH, Urteile vom 4. Oktober 2024 – C-200/23, juris Rn. 145 – Agentsia po vpisvaniyata; vom 14. Dezember 2023 – C-340/21, NJW 2024,1091 Rn. 82 – Natsionalna agentsia za prihodite). Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (vgl. EuGH, Urteile vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 33 – PS GbR; vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 36 und 42 – juris). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.“ Gemessen hieran ist dem Kläger ein Schaden erwachsen. Es steht fest, dass der Kläger Webseiten besucht hat, welche E. P. N. nutzen und daher Daten an die Beklagte übermittelt haben. So hat der Kläger im Rahmen seiner persönlichen Anhörung angegeben, die Internetseiten M., X., K., L. und R. regelmäßig besucht zu haben. Dabei ist es unstreitig, dass diese Internetseiten D. P. N. nutzen. Soweit die Beklagte den Besuch der Internetseiten durch den Kläger mit Nichtwissen bestreitet, ist dieses Bestreiten unzulässig. Denn der Beklagten ist bekannt, ob und von welcher Internetseite sie den Kläger betreffende Daten über D. P. N. übermittelt bekommen hat. Durch die übermittelten Daten kann die Beklagte das Nutzerverhalten des Klägers auf den betroffenen Internetseiten nachverfolgen und sich so ein Bild von den Aktivitäten der Klagepartei im Internet machen. Welchen Zweck die Beklagte mit diesen angesammelten Daten verfolgt, bleibt im Dunkeln. Dadurch hat der Kläger keine Kontrolle darüber, was mit den auf Drittwebseiten angefallenen Daten bei der Beklagten geschieht. Bei der Höhe des dem Kläger zuzuerkennenden Schadensersatzes berücksichtigt die Kammer, dass einerseits eine Mehrzahl von Datenübertragungen gegenständlich ist, weil der Kläger mehrere Webseiten unter Einbindung von D. P. N. besucht hat. Zudem hat der Kläger im Rahmen seiner Anhörung mitgeteilt, dass er sich aufgrund der streitgegenständlichen Datenverarbeitung gestalkt und ausspioniert fühle. Dies hat er dadurch untermauert, dass er konkrete Angaben zur Verringerung des Risikos weitere Erhebung von Daten durch die D. P. N. ergriffen hat. So hat er angegeben, dass er sein E.-Konto gelöscht habe und dazu übergegangen sei, Technologien einzusetzen, um entsprechendes Abgreifen von Daten zu unterbinden, z.B. den Bitdefender oder auch ein VPN sowie D.-Plugins, wie zum Beispiel den E.-Container von Mozilla. Aufgrund des persönlichen Eindrucks, den die Kammer von dem Kläger im Rahmen der Anhörung gewonnen hat, sowie der nachvollziehbaren Schilderung der ergriffenen Maßnahmen, ist die Kammer davon überzeugt, dass der Kläger sich tatsächlich in einem höheren Maße von der streitgegenständlichen Datenverarbeitung beeinträchtigt fühlt. Unter Berücksichtigung dieser Umstände erscheint ein Schadensersatz in Höhe von 2.000 € angemessen. Der Zinsanspruch ergibt sich aus Verzug, § 288 Abs. 1 ZPO. 2. Der Kläger hat gegen die Beklagte keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus 823 Abs. 1 BGB, Art. 2 Abs. 1, 1 Abs. 1 GG. Der Anwendungsbereich des § 823 Abs. 1 BGB wegen einer Verletzung des allgemeinen Persönlichkeitsrechts ist neben Art. 82 DSGVO eröffnet. Die durch die DSGVO erfolgte Harmonisierung führt nicht zu einer Sperrwirkung. Denn die DSGVO bezweckt grundsätzlich einen umfassenden Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen. Gerade die ergänzende Anwendung des nationalen Rechts stellt einen umfassenden Rechtsschutz bezüglich der Verarbeitung personenbezogener Daten von natürlichen Personen sicher (OLG Schleswig, Urteil vom 22.11.2024 – 17 U 2/24; BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 8). Es fehlt jedoch an einem schwerwiegenden Eingriff in das allgemeine Persönlichkeitsrecht. Eine Verletzung des allgemeinen Persönlichkeitsrechts begründet einen Anspruch auf eine Geldentschädigung, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann. Ob eine schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, die die Zahlung einer Geldentschädigung erfordert, hängt insbesondere von der Bedeutung und Tragweite des Eingriffs, ferner von Anlass und Beweggrund des Handelnden sowie von dem Grad seines Verschuldens ab. Ob ein derart schwerer Eingriff anzunehmen und die dadurch verursachte nicht vermögensmäßige Einbuße auf andere Weise nicht hinreichend ausgleichbar ist, kann nur aufgrund der gesamten Umstände des Einzelfalles beurteilt werden. Die Gewährung einer Geldentschädigung hängt nicht nur von der Schwere des Eingriffs ab, es kommt vielmehr auf die gesamten Umstände des Einzelfalles an, nach denen zu beurteilen ist, ob ein anderweitiger befriedigender Ausgleich für die Persönlichkeitsrechtsverletzung fehlt (BGH, Urteil vom 21. April 2015 – VI ZR 245/14). Bei der gebotenen Abwägung ist zu berücksichtigen, dass der Kläger vorliegend zwar in seiner Privatsphäre betroffen ist, da eine Speicherung von personenbezogenen Daten erfolgt ist. Zudem handelte die Beklagte nicht lediglich sorgfaltspflichtwidrig, sondern gezielt. Die von ihr entwickelten D. P. N. dienen gerade dazu, die Daten von Webseiten von Drittunternehmen zu erlangen. Mit der bloßen Speicherung dieser Daten geht jedoch nur eine geringe Beeinträchtigung des allgemeinen Persönlichkeitsrechts einher. Eine Außenwirkung der gesammelten Daten ist nicht gegeben. Es bleibt unklar, für welche konkreten Zwecke die Beklagte die Daten speichert. Für das Vorliegen von besonders persönlichkeitsbeeinträchtigenden Verwendungen oder Verwendungszielen ist indes der Kläger im Rahmen von § 823 Abs. 1 BGB darlegungsbelastet, da es sich bei dem schwerwiegenden Eingriff um eine anspruchsbegründende Tatsache handelt. Ferner sind unterschiedslos sämtliche Nutzer der Plattform der Beklagten betroffen, sodass keine berechtigte Veranlassung für den Kläger besteht, sich persönlich besonders verfolgt zu fühlen. VI. Der Antrag zu 6 (Freistellung von Rechtsanwaltskosten) ist zulässig und teilweise, nämlich in Höhe von 453,87 € begründet. Die dem Kläger zur Durchsetzung seiner berechtigten Ansprüche entstandenen vorgerichtlichen Rechtsanwaltskosten stellen eine nach Art. 82 Abs. 1 DSGVO ersatzfähige Schadensposition dar. Soweit es auf den Zugang des vorgerichtlichen Aufforderungsschreibens vom 31.07.2023 (Anlage K 3) bei der Beklagten ankommt, ist von einem solchen Zugang auszugehen. Die Beklagte bestreitet den Zugang des Schreibens nicht. Sie trägt lediglich vor, den Erhalt des Schreibens nicht bestätigen zu können. Der Kläger kann daher Freistellung von den ihn entstandenen vorgerichtlichen Rechtsanwaltskosten verlangen, allerdings nur aus einem Gegenstandswert von 4.000,- € (vgl. die Streitwertfestsetzung am Ende). Daraus ergibt sich unter Zugrundelegung einer 1,3 Geschäftsgebühr zzgl. Auslagenpauschale und Mehrwertsteuer der tenorierte Betrag. VII. Der nicht nachgelassene Schriftsatz der Beklagtenseite vom 27.05.2025 gebot keine Wiedereröffnung der mündlichen Verhandlung mangels neuen entscheidungserheblichen Tatsachenvortrages. VIII. Die prozessualen Nebenentscheidungen beruhen auf §§ 92 Abs. 1, 709, 708 Nr. 11, 711 ZPO. IX. Der Streitwert wird auf 11.000 € festgesetzt. (Antrag zu 1: 1.000 €; Antrag zu 2: 3.000 €; Antrag zu 3: 1.000 €; Antrag zu 4: 1.000 €; Antrag zu 5: 5.000 €)