31 O 2122/23

Leitsatz: Allgemeine formelhafte Wendungen dahin, der von einem Datenleck bei einem Finanzdienstleister betroffene Kunde leide seither unter einem erhöhten Spamaufkommen, er lebe seither in Sorge vor einem Missbrauch seiner Daten und habe einen „anhaltenden Kontrollverlust über persönliche und sensible Daten“ erlitten, vermögen für sich genommen keinen konkreten Schaden zu begründen. (Rn. 49) (redaktioneller Leitsatz) 1. Die Klage wird abgewiesen- 2. Der Kläger hat die Kosten des Rechtsstreits zu tragen. 3. Das Urteil ist für die Beklagte gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar. Beschluss Der Streitwert wird auf 17.000,00 € festgesetzt. A. Die Klage ist nur teilweise zulässig. Soweit sie zulässig ist, erweist sie sich als unbegründet. I. Zulässigkeit Bezüglich der Anträge Ziffer 1., 4. und 5. ist die Klage zulässig. Die Klageanträge zu 2. Abs. 1, 2. Abs. 2 und 3 sind unzulässig. 1. Klageantrag zu 1. (immaterieller Schadensersatz für Datenschutzverstoß) Der Klageantrag zu 1. (immaterieller Schadensersatz für Datenschutzverstoß) ist hinreichend bestimmt, da sich der Umstand, für welche konkreten Datenschutzverstöße der Schadensersatz in welcher Höhe als Ausgleich dienen soll, nicht aus dem Antrag bzw. der Klage selbst ergeben muss. Vielmehr kann auch für die Bestimmung des Umfangs der Begründungsanteile des beantragten Schadensersatzes auf das Ermessen des Gerichts verwiesen werden, wie hier erfolgt. 2. Klageantrag zu 2. Abs. 1 (Feststellung materieller Schadensersatz für die Zukunft) Der Klageantrag zu 2. Abs. 1 (Feststellung materieller Schadensersatz für die Zukunft) ist auch in der Form, wie in der mündlichen Verhandlung vom 15.03.2024 gestellt, bereits unzulässig, da es am notwendigen Feststellungsinteresse des Klägers nach § 256 Abs. 1 ZPO fehlt. Die Möglichkeit eines Schadenseintritts (vgl. BGH, Urteil vom 29.06.2021 – ZR 52/18) materieller oder immaterieller Art ist durch den Kläger weder hinreichend dargelegt noch ersichtlich. Gerade im Hinblick auf die vergangene Zeit ist auch nicht damit zu rechnen, dass zukünftige Schäden noch eintreten werden.“ Nachrichten mit betrügerischen Absichten oder belästigender Wirkung sind gerichtsbekanntermaßen, wie auch zum Gegenstand der mündlichen Verhandlung vom 15.03.2024 gemacht (Protokoll S. 3,5), jedermann/jederfrau ausgesetzt, auch Personen, die von dem streitgegenständlichen Datenvorfall in keiner Weise betroffen sind. Die berechtigten Sorgen des Klägers vor Phishing-Nachrichten und sein verstärktes Misstrauen gegenüber E-Mails und Anrufen von Unbekannten mit unterdrückter Rufnummer wirken dieser Gefahr zudem vielmehr entgegen. 3. Klageantrag zu 2. Abs. 2 (Unterlassung) Der Klageantrag zu 2. Abs. 2 (Unterlassung) ist zu unbestimmt i.S.v. § 253 Abs. 2 Nr. 2 ZPO, da er nicht deutlich macht, welche Fälle des „Dritten zugänglich (…) machens“ er erfassen soll, welche „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ die Beklagte bei jeglicher Zugänglichmachung vornehmen müsste und/oder welche „Rechtfertigungsgründe nach der DSGVO“ das Unterlassungsgebot nicht eingreifen lassen sollen. Die Klärung all dieser Fragen darf nicht vom Erkenntnisverfahren ins Vollstreckungsverfahren (Bestrafungsverfahren) verlagert werden (BGH NJW 2000, 2195). Eine diese Mängel beseitigende Klarstellung des Antrags ist trotz Hinweises in der Sitzung nicht erfolgt. Unterlassungsanträge müssen über den Wortlaut einer etwaigen Verbotsnorm hinaus an die konkrete Verletzungsform angepasst sein, um inhaltlich nicht über den materiell-rechtlichen Anspruch hinauszugehen (BGH, Urt. v. 29.06.1995, Az. ZR 137/93 – juris; BGH, Beschluss vom 10.04.2018, Az. ZR 247/17, – juris). Der Streitgegenstand muss so klar gefasst sein, dass sich die Beklagte im Erkenntnisverfahren erschöpfend verteidigen kann (st. Rspr. BGH, zB Urt. v. 17.07.2003, Az. ZR 259/00, Rn. 41, juris). Unterlassungsanträge, die sich auf die Umschreibung gesetzlicher Verbote beschränken, sind grundsätzlich zu unbestimmt und damit unzulässig (BGH, Urt. v. 24.11.1999, Az. ZR 189/97, – juris). Derartige Anträge sind nur dann ausreichend bestimmt, wenn der im Antrag wiedergegebene Verbotstatbestand konkret und eindeutig ist oder sich aus dem klägerischen Sachvortrag ergibt, auf welche konkrete Verhaltensweise sich der Unterlassungsanspruch beschränkt. Zudem muss der Sachverhalt im Wesentlichen unstreitig sein, die Unstimmigkeiten der Parteien dürfen sich nur auf die rechtliche Qualifizierung einer an sich unstreitigen Verhaltensweise beziehen (BGH, Urt. v. 30.04.2015, Az. ZR 196/13, GRUR 2015, 1235). Diesen Erfordernissen entspricht der Unterlassungsantrag nicht. Es ist anhand des Antrags nicht erkennbar, welches eigene Handeln genau der Beklagten abverlangt werden soll. Hierbei ist bereits fraglich, ob die verwendete Formulierung „die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ hinreichend bestimmt ist. Der verwendete Begriff „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ ist auslegungsbedürftig, da die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen einem ständigen Wandel unterliegen. Zur Gewährleistung effektiven Rechtsschutzes kann zwar eine gewisse Auslegungsbedürftigkeit hinzunehmen sein. Dies ist allerdings nur dann der Fall, wenn über den Sinngehalt der verwendeten Begriffe keine Zweifel bestehen. Dies gilt aber nicht, wenn zwischen den Parteien Streit darüber besteht, ob das konkret beanstandete Verhalten darunter fällt, weil sonst der im Erkenntnisverfahren beizulegende Streit ins Vollstreckungsverfahren verlagert würde (s. BGH NJW 2000, 2195). So liegt der Fall hier, da zwischen den Parteien Streit darüber besteht, ob die von der Beklagten ergriffenen Maßnahmen die nach „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ darstellten. Jedenfalls fehlt es aber auch an einer hinreichenden Bestimmtheit des Unterlassungsantrags, soweit der Kläger Unterlassung begehrt, seine Daten „Dritten zugänglich zu machen, … ohne, dass … ein Rechtfertigungsgrund nach der DSGVO [vorliegt]“. Denn dieser Antrag wäre im Falle des Zusprechens nicht vollstreckungsfähig. Der Antrag ist unter Berücksichtigung seiner Begründung und seines Ziels nach §§ 133, 157 BGB auszulegen (vgl. BGH, Beschl. V. 22.05.1995 – ZB 2/95, NJW-RR 1995, 1183). Offensichtlich wendet sich der Kläger gegen das von der Beklagten nicht beabsichtigte Abgreifen seiner Daten durch Dritte unter Umgehung der vorhandenen Sicherungsmaßnahmen der Beklagten, die als unzureichend kritisiert werden. Mit dieser Maßgabe ist aber weder klar und bestimmbar, wie das zu verbietende „zugänglich machen“ durch die Beklagte aussehen soll, noch welche Rechtfertigungsgründe ausgenommen sein sollen. Im Falle eines von der Beklagten nicht beabsichtigten Abgreifens der klägerischen Daten durch Dritte liegt bereits keine Handlung der Beklagten vor. Vielmehr handelt es sich um eine Handlung des Dritten, über welche die Beklagte keine Kontrolle hat. Die Unterlassung eines solchen Dritthandelns, das außerhalb der Einflusssphäre der Beklagten liegt, kann der Beklagten nicht auferlegt werden, da ihr die Erfüllung unmöglich ist. Unterlassungsgebote können sich nur auf eigenes Handeln erstrecken, über welches der Unterlassungsschuldner die Kontrolle hat. Es verbleibt daher unklar, welches eigene Tun die Beklagte gem. dem Klageantrag zu 2. Abs. 2 genau unterlassen soll. Mangels eindeutiger Bestimmung des zu unterlassenden Tuns der Beklagten bleibt folgerichtig ebenfalls unklar, welche Erlaubnistatbestände i.S.v. Art. 6 DSGVO für dieses Tun eingreifen könnten. Bei von der Beklagten nicht kontrollierbaren Handlungen Dritter handelt es sich nicht um Verarbeitungen, für die die Beklagte als Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO agieren könnte, so dass sie insoweit nicht für die Einhaltung der Erlaubnistatbestände nach der DSGVO sorgen kann. Mit einem Unterlassungsantrag kann der Kläger die Beklagte auch nicht allgemein zu gesetzeskonformem Handeln oder zu einem positiven Tun, wie z.B. der Einführung der jeweils nach dem aktuellen „Stand der Technik möglichen Sicherheitsmaßnahmen“ verpflichten. Vielmehr sind etwaige künftige Verstöße der Beklagten gegen die DSGVO oder die nach dem jeweils aktuellen „Stand der Technik möglichen Sicherheitsmaßnahmen“ in einem neuen Erkenntnisverfahren zu klären. Eine umfassende Sicherung seiner Daten vor einem künftigen erneuten Abgreifen durch Dritte bei der Beklagten kann der Kläger nur erreichen, indem er diese aus seinem Kundenkonto bei der Beklagten entfernt bzw. dieses vollständig löscht. Da dies ersichtlich jederzeit möglich ist, fehlt es insoweit auch an einem Rechtsschutzbedürfnis für eine Unterlassungsklage. Da der Unterlassungsantrag bereits unzulässig ist, kommt es vorliegend auch nicht mehr darauf an, ob für diesen nach der DSGVO bzw. nach allgemeinem Zivilrecht überhaupt eine Anspruchsgrundlage gegeben ist. 4. Klageantrag zu 3. (Auskunft) Der Klageantrag zu 3. (Auskunft) ist ebenfalls unzulässig, da es dem Kläger diesbezüglich an einem Rechtsschutzbedürfnis fehlt. Es ist nicht ersichtlich, welche Auskunft der Kläger von der Beklagten nach dem Erhalt der Antworten mit dem Anwaltsschreiben vom 05.01.2023 (Anlage K 2) noch begehrt. Unstreitig hat er nach dem Erhalt dieser Antworten (Anlage K 2) keine weitere Auskunft nach Art. 15 DSGVO von der Beklagten mehr verlangt. Nach ihrem insoweit unwidersprochenen Vortrag wäre die Beklagte einem solchen weiteren Verlangen – z.B. nach den konkreten Empfängern (nicht nur „Kategorien von Empfängern“) der personenbezogenen Daten des Klägers – ohne weiteres nachgekommen. Für eine gerichtliche Durchsetzung einer Auskunft ohne vorherige außergerichtliche Anforderung der vermeintlich noch fehlenden Informationen fehlt dem Kläger ein Rechtsschutzbedürfnis. Ohne dass es darauf noch ankäme, dürfte der Auskunftsanspruch im vorliegenden Fall aber auch bereits ordnungsgemäß erfüllt worden sein. Insbesondere wurde die Auskunft bereits mit Schreiben vom 05.01.2023 (Anlage K 2) so erteilt, wie sie vom Kläger bis dahin verlangt wurde. Mit Schreiben vom 21.12.2022 (Anlage K 1) verlangten die Klägervertreter von der Beklagten Auskunft über u.a. „4. … den Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten unsere Mandantschaft – befugt oder unbefugt – offengelegt worden sind“. Soweit der Kläger hiermit die „Empfänger“ der Daten aus dem Datenvorfall zu erfassen meint, ist der Beklagten die Auskunfterteilung über die genauen „Empfänger“ unmöglich, da die entsprechenden Täter der Beklagten unstreitig unbekannt sind. Die Beklagte kann nur über solche Umstände Auskunft geben, bezüglich derer sie Informationen hat, also insbesondere ihr eigenes Verhalten in Form von willentlicher Verarbeitung oder Übermittlung von Daten. Dies entspricht dem allgemeinen Grundsatz „nemo ultra posse obligatur“, dass Unmögliches nicht verlangt werden kann (vgl. Gola/Heckmann/Franck, 3. Auflage 2022, DSGVO, Art. 15, Rn. 51ff.; Lembke, Der datenschutzrechtliche Auskunftsanspruch im Anstellungsverhältnis, NJW 2020,1841,1845). Als „Kategorien von Empfängern“ war eine Auskunft überflüssig, da dem Kläger bereits bekannt war, dass die Täter des entsprechenden Datenvorfalls seine Daten erhalten hatten. Soweit sich die Anfrage auf „befugte Offenlegungen“ der klägerischen Daten beziehen soll, wurde diese Auskunft mit Schreiben vom 03.01.2023 (Anlage B13) bereits mit konkreten Empfängern erteilt und in dem Anwaltsschreiben vom 05.01.2023 (Anlage K 2) erneut hierauf verwiesen. Darüber hinaus hat die Beklagte dem Kläger nach Klagezustellung am 28.04.2023 erneut vorsorglich die konkreten Empfänger seiner Daten mitgeteilt. Der Kläger hat hierzu keine Erklärung mehr abgegeben, insbesondere den Rechtsstreit nicht insoweit für erledigt erklärt oder sonstwie erläutert, welche Auskünfte er konkret noch nicht erhalten haben will. Vielmehr hat er lediglich pauschal und vage behauptet, sein Auskunftsanspruch sei „nicht, jedenfalls nicht hinreichend erfüllt“ worden. Soweit hierdurch die Vollständigkeit und Richtigkeit der gegebenen Auskunft angezweifelt werden sollte, ergibt sich hieraus kein Anspruch auf weitere Auskunft. Etwaige Anhaltspunkte für eine etwaige Unrichtigkeit oder Unvollständigkeit der Auskunft hat der Kläger im dafür vorgesehenen Verfahren (Antrag auf Abgabe einer eidesstattlichen Versicherung) anzubringen. Hieraus folgt kein – weitergehender – Auskunftsanspruch. 5. Klageanträge zu 4. (immaterieller Schadensersatz für Nichterteilung Datenauskunft) und 5. (außergerichtliche Anwaltskosten) Hinsichtlich der Klageanträge zu 4. und 5. bestehen keine Zweifel an der Zulässigkeit. II. Begründetheit Soweit die Klage zulässig ist, ist sie unbegründet. 1. Klageantrag zu 1. (immaterieller Schadensersatz für Datenschutzverstoß) Der Kläger hat keinen Anspruch auf immateriellen Schadenersatz aus Art. 82 Abs. 1 DSGVO gem. dem Klageantrag Ziff. 1. Denn es fehlt jedenfalls am Eintritt eines immateriellen Schadens, der sich kausal auf den streitgegenständlichen Datenschutzvorfall zurückführen lässt. a) Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Das Merkmal des immateriellen Schadens ist autonom auszulegen (Paal / Aliprandi NJW 2023, 1914 Rn. 5). Erwägungsgrund 146 S. 3 zur DSGVO bestimmt, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DSGVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis bzw. eine enge Auslegung des Schadensbegriffs ist mithin nicht angezeigt (vgl. dazu BVerfG, Beschluss vom 14.01.2021, 1 BvR 2853/19, NJW 2021, 1005, 1007). Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich aus der DSGVO nicht. Bagatellschäden sind daher nicht auszuschließen. Erforderlich ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“ bzw. „erlitten“, vgl. Erwägungsgrund 146 S. 6) ist. Ein bloßer Verstoß gegen die Bestimmungen der DSGVO reicht nicht aus, um einen Schadenersatzanspruch zu begründen (EuGH, Urteil vom 04.05.2023, Az. C-300/21, NZA 2023, 621 = NJW 2023, 1930, Rz. 34, 42). Denn ein Schadensersatzanspruch setzt das Vorliegen eines „Schadens“ ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen Verstoß und Schaden voraus, „wobei diese drei Voraussetzungen kumulativ sind“ (vgl. EuGH a.a.O. Rn. 32). Die Klagepartei ist für den konkreten Schaden darlegungs- und ggf. beweispflichtig (OLG Frankfurt a.M. 02.03.2022, 13 U 206/20, GRUR-RS 2022, 4491 Rn. 57, 65). Unter Zugrundelegung dieses Maßstabs hat der Kläger nicht zur Überzeugung des Gerichts dargelegt, dass bei ihm aufgrund eines möglichen Datenschutzverstoßes der Beklagten tatsächlich ein immaterieller Schaden eingetreten ist. Die Ausführungen hierzu in der Klageschrift erschöpfen sich lediglich in allgemeinen formelhaften Wendungen, die mit identischem Inhalt in einer Vielzahl von Verfahren vorgebracht wurden und werden. Diesbezüglich wurde nur vorgetragen, der Kläger leide seither unter einem erhöhten Spamaufkommen, er lebe seither in Sorge vor einem Missbrauch seiner Daten und habe einen „anhaltenden Kontrollverlust über persönliche und sensible Daten“ erlitten. Die informatorische Anhörung des Klägers hat ergeben, dass die vom Kläger zur Substantiierung seiner Missbrauchsbefürchtungen vorgetragenen „drei verdächtigen Anfragen bei ... erst vor ca. 1 Jahr auftraten, mithin nicht in engem zeitlichem Zusammenhang mit dem Datenvorfall. Von diesen verdächtigen Anfragen hat der Kläger erfahren, weil er das Angebot der Beklagten auf Nutzung der „MeineSchufa+“-Funktion auf ihre Kosten wahrgenommen hat. Nachdem er diese drei verdächtigen Anfragen bei ... der Schufa gemeldet hatte, hat der Kläger sich laut eigener Aussage nicht weiter darum gekümmert, zumal auch nichts weiter passierte, insbesondere keine finanziellen Nachteile feststellbar waren. Da der Kläger seine Bankkontotransaktionen genau beobachtet hatte und keine missbräuchlichen Vorgänge feststellen konnte, hielt er es auch nicht für nötig, sich direkt an ... zu wenden. Es kann daher nicht angenommen werden, dass diese „verdächtigen Anfragen“ den Kläger besonders „bekümmert“ oder emotional belastet haben. Der Kläger ist auch weiter Kunde bei der Beklagten, was sicherlich nicht der Fall wäre, wenn er aufgrund des früheren Verhaltens der Beklagten spürbar belastet wäre. Allein der Umstand, dass der Kläger seit ca. 1 Jahr zunehmend betrügerische Kontaktversuche auf seiner bereits seit ca. 20 Jahren von ihm genutzten Handynummer erhält, ist kein Indiz für eine missbräuchliche Nutzung gerade der aus dem streitgegenständlichen Vorfall abgegriffenen Daten. Denn in diesem Zeitraum ist das Allgemeine Lebensrisiko für derartige Kontaktversuche enorm gestiegen und hatten entsprechende Absender aus der bereits ca. 20-jährigen Nutzungsdauer der Handynummer bereits genügend andere Möglichkeiten, um an diese zu gelangen. Es wurde zum Gegenstand der mündlichen Verhandlung gemacht, dass sowohl der Beklagtenvertreter als auch die Einzelrichterin selbst, obwohl vom Datenvorfall bei der Beklagten nicht betroffen, ebenfalls vergleichbare Nachrichten erhalten. Unerwünschte Kontaktaufnahmeversuche sind zwar durchaus lästig, aber im Hinblick auf die vermehrte Angabe von Kontaktdaten bei OnlineEinkäufen, Reservierungen etc. nicht zu vermeiden. Unerwünschte Kurznachrichten oder auch Anrufe mit betrügerischem Inhalt sind typische, mit der Nutzung digitaler Kommunikationsmittel verbundene Beeinträchtigungen und Risiken, die allgemein auftreten und auch Personen treffen, die nicht bei der Beklagten angemeldet oder von dem streitgegenständlichen Datenvorfall betroffen sind. Anhaltspunkte für einen echten Kontrollverlust über Informationen, über die bisher Kontrolle bestanden hätte, oder für tatsächliche psychische Beeinträchtigungen, die auf den streitgegenständlichen Datenvorfall zurückzuführen sein könnten, wurden nicht vorgebracht. Insbesondere wurden keinerlei Anhaltspunkte dafür vorgebracht, dass die Ausweis- oder Kontodaten des Klägers tatsächlich bereits selbst in den Händen von Betrügern waren und von diesen genutzt wurden. Im Gegenteil dazu dienen die vom Kläger vorgetragenen Anrufe aus Afrika, SMSe und „verdächtigen Anfragen bei ... gerade erst der Erlangung solcher sensibler Daten. Der Datenvorfall mag bei dem Kläger ein unangenehmes Gefühl hinsichtlich der eigenen Daten ausgelöst haben, bloße Unannehmlichkeiten begründen jedoch noch keine haftungsrelevante Beeinträchtigung. Dass es in sonstiger Weise zu einem konkreten Missbrauch seiner Daten gekommen sei, hat der Kläger nicht behauptet. Vor diesem Hintergrund kann es im vorliegenden Fall offenbleiben, ob der Beklagten tatsächlich ein Verstoß gegen die Bestimmungen der DSGVO zur Last fällt. Die Beklagte hat zwar die Zugangsdaten ihres früheren Dienstleisters nach Vertragsende nicht selbst aktiv gesperrt und hierdurch das Risiko für unauthorisierte Datenabgriffe unnötig erhöht (gelassen). Hieraus ist dem Kläger jedoch, wie ausgeführt, jedenfalls kein kausaler Schaden – materieller oder immaterieller Natur – entstanden oder wäre noch ernsthaft – kausal – zu befürchten. b) Darüber hinaus fehlt es im vorliegenden Fall auch an der erforderlichen Kausalität zwischen dem streitgegenständlichen Datenvorfall und dem vom Kläger geschilderten „erhöhten Spamaufkommen“. Die Kausalität zwischen Datenschutzverstoß und Schaden ist nach dem eindeutigen Wortlaut des Art. 82 Abs. 2 DSGVO erforderlich. Grundsätzlich werden auch Personen, die kein Nutzerkonto bei der Beklagten haben und weder von dem streitgegenständlichen, noch von anderen gerichtsmassigen Datenvorfällen betroffen sind, regelmäßig Opfer von Spam-Anrufen, -SMS und -E-Mails, sowohl mit unerwünschter Werbung, als auch mit betrügerischen Absichten. Diese können nicht ohne weitere konkrete Anhaltspunkte mit dem hier streitgegenständlichen Datenvorfall in Verbindung gebracht werden. Insbesondere ist nicht ersichtlich, dass bei den Kontaktaufnahmeversuchen Informationen verwendet wurden, die der Anrufer oder Absender aus den Daten der Beklagten erlangt hat. Die Anrufe und Emails könnten somit vielmehr auch Ergebnis einer rein zufälligen Rufnummernanwahl und/oder Kontaktierung von im Internet leicht abgreifbaren Telefonnummern und E-Mail-Adressen gewesen sein. Die geltend gemachten Rechtshängigkeitszinsen teilen als Nebenforderung das Schicksal der Hauptforderung und unterliegen insoweit ebenfalls der Klageabweisung. 2. Klageantrag zu 4. (immaterieller Schadensersatz für Nichterteilung Datenauskunft) Aus den gleichen Erwägungen ist auch der Klageantrag zu 4. (immaterieller Schadensersatz für Nichterteilung Datenauskunft) offensichtlich unbegründet. Auch hier fehlt es jedenfalls am Eintritt eines – immateriellen – Schadens. Es ist nicht einmal ansatzweise vorgetragen, dass der Kläger aufgrund der behaupteten verspäteten Auskunft eine Beeinträchtigung in irgendeiner Form erfahren hat. Der geltend gemachte Anspruch ist zudem auch noch aus weiteren Gründen abwegig: Der Kläger wurde unstreitig im Oktober 2020 unmittelbar nach Kenntniserlangung durch die Beklagte von dem Datenvorfall unterrichtet. Hierauf hat er auch nicht etwa seinerseits unverzüglich Auskunft bei der Beklagten begehrt. Vielmehr erfolgte dies unstreitig erstmals mit anwaltlichem Schreiben vom 21.12.2022 (Anlage K 1). Für die begehrte Auskunft wurde eine Frist von einem Monat ab Zugang des Schreibens gesetzt. Mit Schreiben vom 03.01.2023 (Anlage B 13) und vom 05.01.2023 (Anlage K 2) erteilte die Beklagte sodann dem Kläger die begehrte Auskunft. Unstreitig hat der Kläger nach dem Erhalt dieser Antworten keine weitere Auskunft nach Art. 15 DSGVO von der Beklagten mehr verlangt. Eine verspätete Auskunftserteilung lag daher nicht vor, selbst wenn man nach der erteilten Auskunft gem. Anlage K 2 noch weitere Auskunftsansprüche als bestehend ansehen würde. Im hiesigen Verfahren hat der Kläger aber auch nicht einmal ansatzweise dargelegt, warum die erteilte Auskunft ungenügend gewesen sein sollte. Zu den klägerischen Spekulationen über eine mögliche Unvollständigkeit oder Unrichtigkeit ist auf die obigen Ausführungen zum hierfür statthaften Verfahren (auf Abgabe einer eidesstattlichen Versicherung) zu verweisen. Außerdem ist der begehrte Schadensersatz von der Anspruchsgrundlage des Art. 82 Abs. 1 DSGVO für immateriellen Schadensersatz nicht gedeckt. Denn dieser erfasst nur Schäden, die durch eine nicht der DSGVO entsprechende Datenverarbeitung entstehen. Dies ergibt sich aus Erwägungsgrund 146, der von Schäden spricht, die „auf Grund einer Verarbeitung“ eintreten. Selbst eine verspätete oder unvollständige Auskunft stellt aber keine Verarbeitung von personenbezogenen Daten dar. Deshalb ist bereits mangels Anspruchsgrundlage kein immaterieller Schadensersatz wegen Nichterteilung von Auskunft denkbar. Der geltend gemachte Zinsanspruch teilt als Nebenforderung das Schicksal der Hauptforderung und unterliegt deshalb ebenfalls der Klageabweisung. 3. Klageantrag zu 5. (außergerichtliche Anwaltskosten) Da kein Anspruch in der Hauptsache besteht, hat der Kläger auch keinen Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten. Die geltend gemachten Rechtshängigkeitszinsen teilen als Nebenforderung das Schicksal der Hauptforderung und unterliegen insoweit ebenfalls der Klageabweisung. B. Die Kostenentscheidung beruht auf § 91 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 709 S. 1, S. 2 ZPO. C. Die Streitwertfestsetzung richtet sich nach §§ 63, 48, 39 GKG. Die Wertangaben des Klägers in der Klageschrift zu den Anträgen auf Feststellung, Unterlassung und Auskunft wurden von der Beklagtenseite nicht in Frage gestellt.