27 O 190/23

Leitsatz: 1. Die Speicherung von Daten, welche der Betreiberin des Netzwerks Facebook im Rahmen der Meta Business Tools über die Nutzung von Websites oder Apps von Drittunternehmen mitgeteilt worden sind (Off-Site-Daten), bedarf auch dann einer vom Facebook-Nutzer erteilten Einwilligung, wenn dieser bei Nutzung der Drittwebsite oder App in die Weiterleitung der Daten eingewilligt hat. Eine gegenüber dem Drittunternehmen erteilte Einwilligung umfasst nicht die anschließende Weiterverarbeitung der Daten durch Meta, wozu auch die bloße Speicherung gehört.(Rn.76) (Rn.80) 2. Hat der Facebook-Nutzer in die Nutzung der Off-Site-Daten durch Meta nicht eingewilligt, so sind die Daten zu löschen. Die Trennung der Daten vom Nutzerkonto genügt nicht.(Rn.86) (Rn.90) 3. Ein Anspruch, die Off-Site-Daten nicht zu löschen, kommt nach Art. 18 Abs. 2 DSGVO nur in Betracht, wenn zuvor die Verarbeitung der Daten eingeschränkt worden ist. Der Betroffene kann nicht verlangen, die Löschung zu unterlassen, ohne zuvor die Einschränkung der Verarbeitung durchgesetzt zu haben (Art. 18 Abs. 1 DSGVO).(Rn.69) 4. Werden Off-Site-Daten trotz fehlender Einwilligung gespeichert, so liegt in dem Kontrollverlust des Nutzers über die Behandlung dieser Daten ein immaterieller Schaden im Sinne von Art. 82 DSGVO (hier: 300 €).(Rn.89) 1. Die Beklagte wird verurteilt, an den Kläger 300 € sowie zum Ersatz vorgerichtlicher Anwaltskosten weitere 220,27 € zu zahlen, jeweils nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit 12.12.2023. 2. Die Beklagte wird verurteilt, sämtliche seit dem 25.05.2018 bereits gespeicherten und auf Dritt-Webseiten und -Apps entstehenden personenbezogene Daten des Klägers, ob direkt oder in gehashter Form übertragen, d.h. - E-Mail der Klagepartei - Telefonnummer der Klagepartei - Vorname der Klagepartei - Nachname der Klagepartei - Geburtsdatum der Klagepartei - Geschlecht der Klagepartei - Ort der Klagepartei - Externe IDs anderer Werbetreibender (von der Meta Ltd. “external_ID” genannt) - IP-Adresse des Clients - User-Agent des Clients (d.h. gesammelte Browserinformationen) - interne Klick-ID der Meta Ltd. - interne Browser-ID der Meta Ltd. - Abonnement –ID - Lead-ID - anon_id auf seine Aufforderung, spätestens jedoch sechs Monate nach rechtskräftigem Abschluss des Verfahrens, vollständig zu löschen und dem Kläger die ö zu bestätigen 3. Die Beklagte wird verurteilt, sämtliche nachfolgenden, seit dem 25.05.2018 bereits gespeicherten und auf Dritt-Webseiten und -Apps entstehenden personenbezogene Daten des Klägers, ob direkt oder in gehashter Form übertragen a) auf Dritt-Webseiten - die URLs der Webseiten samt ihrer Unterseiten - der Zeitpunkt des Besuchs - der Referrer (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist) - die von der Klagepartei auf der Webseite angeklickten Buttons sowie - weitere von der Meta „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren b) in mobilen Dritt-Apps - der Name der App sowie - der Zeitpunkt des Besuchs - die von der Klagepartei in der App angeklickten Buttons sowie - die von der Meta „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren. auf seine Aufforderung, spätestens jedoch sechs Monate nach rechtskräftigem Abschluss des Verfahrens, vollständig zu anonymisieren. 4. Im Übrigen wird die Klage abgewiesen. 5. Die Kosten des Rechtsstreits tragen der Kläger zu 90 % und die Beklagte zu 10 %. 6. Das Urteil ist in Ziffern 2 und 3 gegen Sicherheitsleistung in Höhe von 1.000 € und im Übrigen gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar. Streitwert: 13.000 € Die Klage ist teilweise unzulässig. Soweit sie zulässig ist, ist die Klage teilweise begründet. I. Die Klageanträge Ziffer 1 und 2 sind unzulässig. Im Übrigen ist die Klage zulässig. 1. Das Gericht ist nach §§ 23 Nr. 1, 71 Abs. 1 GVG sachlich zuständig. Da der Kläger als Verbraucher handelt, folgt die internationale Zuständigkeit deutscher Gerichte und die örtliche Zuständigkeit des Landgerichts Stuttgart aus Art. 17 Abs. 1 c), Art. 18 Abs. 1 Alt. 2 EuGVVO. Die internationale Zuständigkeit ergibt sich im Übrigen auch aus Art. 79 Abs. 2 Satz 1 DSGVO. 2. Der Klageantrag Ziffer 1 ist mangels Vorliegens eines feststellungsfähigen Rechtsverhältnisses im Sinne von § 256 Abs. 1 ZPO unzulässig. Gegenstand einer Feststellungsklage kann neben der Echtheit einer Urkunde nur das Bestehen oder Nichtbestehen eines Rechtsverhältnisses sein. Ein Rechtsverhältnis in diesem Sinne setzt eine bestimmte, sich aus dem Vortrag des Klägers ergebende Rechtsbeziehung zwischen Personen oder einer Person und einer Sache voraus. Hiernach können zwar auch einzelne, aus einem Rechtsverhältnis sich ergebende Rechte und Pflichten zulässiger Klagegegenstand sein. Die Rechtswidrigkeit eines Verhaltens ist hingegen kein feststellungsfähiges Rechtsverhältnis (BGH, Urteil vom 27.03.2015 - V ZR 296/13, NJW-RR 2015, 915 Rn. 7 mwN; vom 20.04.2018 - V ZR 106/17, NJW 2018, 3442 Rn. 13). Gemessen hieran ist der Klageantrag Ziffer 1 unzulässig, woran sich auch mit der Neufassung des Antrags in der Replik nichts geändert hat. Zwar beantragt der Kläger nunmehr - abweichend von der ursprünglichen Fassung des Antrags - festzustellen, dass der Nutzungsvertrag der Parteien die Verarbeitung der genannten personenbezogenen Daten „seit dem 25.05.2018 nicht gestattet“. Ein rechtserheblicher Unterschied geht damit jedoch nicht einher, da es dem Kläger im Kern nach wie vor um die Feststellung der Rechtswidrigkeit eines Verhaltens geht. Soweit der Kläger in der Replik vorbringt, er begehre die Feststellung der Unwirksamkeit von Vertragsklauseln der Beklagten, ergibt sich dies schon nicht aus der Fassung des Klageantrags. Im Übrigen würde auch die Unwirksamkeit einer AGB kein feststellungsfähiges Rechtsverhältnis begründen, sondern lediglich eine abstrakte Vorfrage, die Voraussetzung für bestimmte Rechtsfolgen sein kann (vgl. BGH, Urteil vom 24.03.2010 – VIII ZR 304/08, NJW 2010, 2793 Rn. 17). 3. Mangels hinreichender Bestimmtheit (§ 253 Abs. 2 Nr. 2 ZPO) ist auch der Klageantrag Ziffer 2 unzulässig. a) Ein Klageantrag ist hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Bei einem Unterlassungsantrag folgt daraus insbesondere, dass dieser nicht derart undeutlich gefasst sein darf, dass die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt (vgl. BGH, Urteil vom 18.11.2024 – VI ZR 10/24, NJW 2025, 298 Rn. 52). Daher sind (Unterlassungs-)Anträge, die lediglich den Wortlaut eines Gesetzes wiederholen, grundsätzlich zu unbestimmt und daher unzulässig. Abweichendes kann nur dann gelten, wenn entweder der gesetzliche Verbotstatbestand hinreichend eindeutig und konkret gefasst oder der Anwendungsbereich der Rechtsnorm durch eine gefestigte Auslegung geklärt ist, sowie auch dann, wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem (Unterlassungs-)Begehren an der konkreten Verletzungshandlung orientiert. Die Bejahung der Bestimmtheit setzt in solchen Fällen allerdings grundsätzlich voraus, dass sich das mit dem selbst nicht hinreichend klaren Antrag Begehrte im Tatsächlichen durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht infrage gestellt ist, sondern sich der Streit der Parteien ausschließlich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt (vgl. BGH, Urteil vom 02.03.2017 – I ZR 194/15, GRUR 2017, 537 Rn. 12; vom 12.03.2020 – I ZR 126/18, NJW 2020, 3386 Rn. 39). b) Diesen Anforderungen an die Bestimmtheit wird der Klageantrag Ziffer 2 nicht gerecht, da er sich in wesentlichen Teilen auf eine Wiederholung des Gesetzeswortlauts beschränkt und sich das Begehren unter Heranziehung des weiteren Sachvortrags des Klägers nicht hinreichend eindeutig bestimmen lässt. Die Definition der „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO, auf die der Kläger hier Bezug nimmt, umfasst generalklauselartig verschiedenste Vorgänge oder Vorgangsreihen im Zusammenhang mit personenbezogenen Daten von der Erhebung, Speicherung, Verknüpfung und Verwendung bis hin zu deren Löschung. Dabei bleibt unklar, welche dieser möglichen Verhaltensweisen der Beklagten im Einzelnen untersagt werden sollen. Eine gewisse Konkretisierung lässt sich dem Klageantrag zwar insoweit entnehmen, als der Kläger auf die Verarbeitung personenbezogener Daten „auf Drittseiten und Apps außerhalb der Netzwerke der Beklagten“ abstellt, was dem Wortlaut nach dafür spricht, dass es dem Kläger hier (nur) um Datenverarbeitungsvorgänge geht, die auf Drittwebsites und Apps vorgenommen werden. Aus dem Sachvortrag des Klägers ergibt sich dies jedoch nicht hinreichend konkret. Darin rügt der Kläger vielmehr eine Vielzahl weiterer Verarbeitungshandlungen, unter anderem die Speicherung, Weiterleitung in Drittländer, Verknüpfung und Verwendung für die Anzeige personalisierter Werbung. Im Übrigen ist unklar, welche Verarbeitungshandlungen auf Drittwebsites und Apps der Beklagte untersagt wissen möchte. Auch insoweit erscheinen verschiedene Anknüpfungspunkte denkbar, so etwas das Zurverfügungstellen der Meta Business Tools durch die Beklagte, die Datenerhebung und -übermittlung durch Drittunternehmen an die Beklagte sowie die Entgegennahme der Daten durch die Beklagte. 4. Der Klageantrag Ziffer 3 ist zulässig, insbesondere handelt es sich entgegen des Vorbringens der Beklagten nicht um eine unzulässige Verknüpfung mit einer außerprozessualen Bedingung. Entgegen der Auffassung der Beklagten handelt es sich nicht um einen bedingten Antrag, der mit einer außerprozessualen Bedingung verbunden wäre, sondern um einen unbedingt gestellten Antrag, gerichtet auf (auflösend) bedingte Verurteilung. Für solche Klageanträge gelten die allgemeinen Bestimmtheitsanforderungen, insbesondere muss hinreichend klar sein, unter welchen Voraussetzungen die Verpflichtung der Beklagten entfallen soll (vgl. BGH, Urteil vom 14.12.1998 – II ZR 330/97, NJW 1999, 954, 954). Dies ist vorliegend der Fall, da sich in der Regel leicht und sicher feststellen lässt, ob der Kläger die Beklagte aufgefordert hat, die von ihm gespeicherten Daten zu löschen. Im Übrigen hat der Kläger die Bestimmtheit des Antrags auch dadurch sichergestellt, dass die Verpflichtung der Beklagten spätestens sechs Monate nach rechtskräftigem Abschluss des Verfahrens endet. 5. Auch der Klageantrag Ziffer 4 ist zulässig. Dem Antrag ermangelt nicht das erforderliche Rechtsschutzinteresse. Nach ständiger Rechtsprechung ist ein einfacherer oder billigerer Weg zum Rechtsschutz der Klage grundsätzlich vorzuziehen, solange dieser gleichermaßen sicher und wirkungsvoll ist. Wenn ein solcher Weg besteht, fehlt dem Kläger das Rechtsschutzinteresse (BGH, Urteil vom 17.12.2020 – I ZR 228/19, NJW 2021, 2023 Rn. 18). Dies ist vorliegend jedoch nicht der Fall. Der Kläger kann in seinen Datenschutzeinstellungen zwar die Löschung durch Auswahl der Optionen „Frühere Aktivitäten Löschen“ bzw. „Künftige Aktivitäten trennen“ vornehmen. Hierdurch werden die Off-Site-Daten jedoch lediglich vom Account des Klägers getrennt, nicht hingegen gelöscht. 6. Auch der Klageantrag Ziffer 5 ist zulässig. Der Kläger kann die Höhe seines immateriellen Schadensersatzanspruchs in zulässiger Weise ins Ermessen des Gerichts stellen, nachdem er den Mindestbetrag seiner Vorstellung angegeben hat. II. Soweit die Klage zulässig ist, ist sie teilweise begründet. 1. Der Klageantrag Ziffer 3 ist unbegründet. Der Kläger hat keinen Anspruch darauf, dass die Beklagte seine personenbezogenen Daten unverändert am gespeicherten Ort belässt und sie erst löscht, wenn der Kläger sie hierzu auffordert. a) Soweit der Kläger sich zur Begründung dieses Anspruchs darauf stützt, dass nach Art. 18 Abs. 2 DSGVO Daten nur mit seiner Einwilligung verarbeitet werden dürfen, wobei unter Verarbeitung gemäß Art. 4 Nr. 2 DSGVO auch die Löschung falle, greift das nicht durch. Tatbestandlich setzt ein Anspruch nach Art. 18 Abs. 2 DSGVO voraus, dass die Verarbeitung gemäß Art. 18 Abs. 1 DSGVO eingeschränkt wurde. Dabei kann vorliegend dahinstehen, ob die Voraussetzungen des Art. 18 Abs. 1 Buchst b DSGVO vorliegen und der Kläger deshalb von der Beklagten eine Einschränkung der Verarbeitung verlangen kann. Denn unabhängig davon ist die Verarbeitung jedenfalls derzeit nicht eingeschränkt im Sinne von Art. 4 Nr. 3 DSGVO. Denn gemäß Art. 4 Nr. 3 DSGVO ist eine Einschränkung der Verarbeitung die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Wie sich aus Erwägungsgrund 67 der DSGVO ergibt, muss für eine Einschränkung der Verarbeitung durch Einrichtung geeigneter Verfahren bzw. technische Maßnahmen ferner sichergestellt sein, dass die markierten Daten nur noch für eingeschränkte Zwecke nach Art. 18 Abs. 2 DSGVO verarbeitet werden (vgl. Herbst in Kühling/Buchner DSGVO/BDSG, 4. Aufl., Art. 18 DSGVO Rn. 29). Die bei der Beklagten gespeicherten personenbezogenen Daten des Klägers erfüllen diese Anforderungen nicht und sind somit nicht in der Verarbeitung eingeschränkt. Selbst wenn dem Kläger ein Anspruch auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 Buchst b DSGVO zustehen sollte, hat er derzeit keinen Anspruch nach Art. 18 Abs. 2 DSGVO, da dies voraussetzen würde, dass die Verarbeitung der Daten zuvor bereits eingeschränkt wurde. Dies ergibt sich sowohl aus dem Wortlaut der Norm („Wurde die Verarbeitung eingeschränkt…“) als auch der systematischen Unterscheidung in Art. 18 Abs. 1 und Abs. 2 DSGVO zwischen den zeitlich und inhaltlich aufeinander aufbauenden Ansprüchen des Betroffenen. Die Rechte aus Art. 18 Abs. 2 DSGVO stehen dem Betroffenen daher erst dann zu, nachdem die Verarbeitung nach Art. 18 Abs. 1 DSGVO eingeschränkt wurde (Herbst in Kühling/Buchner DSGVO/BDSG, 4. Aufl., Art. 18 DSGVO Rn. 34), woran es im Streitfall gerade fehlt. b) Dem Kläger steht auch nicht aus § 1004 BGB iVm § 823 Abs. 1 BGB ein Anspruch darauf zu, dass die Beklagte seine personenbezogenen Daten ab sofort unverändert am gespeicherten Ort belässt und sie erst löscht, wenn der Kläger sie hierzu auffordert. Dabei kann vorliegend dahinstehen, ob ein Unterlassungsanspruch des nationalen Rechts neben der DSGVO anwendbar ist oder ob diese insoweit Sperrwirkung entfaltet. Wird die Anwendbarkeit eines Unterlassungsanspruchs im rechtlichen Ausgangspunkt zu Gunsten des Klägers unterstellt, so besteht ein Unterlassungsanspruch jedenfalls in der Sache nicht. Denn die Beklagte ist gerade nach dem Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 Buchst e DSGVO verpflichtet, die Speicherung personenbezogener Daten zeitlich auf das notwendige Mindestmaß zu begrenzen. Außerhalb des Anwendungsbereichs des Art. 18 Abs. 2 DSGVO stünde es in Widerspruch zu diesem gesetzlichen Grundsatz, wenn man dem Verantwortlichen die Löschung der Daten verbieten würde. 2. Der Klageantrag Ziffer 4 ist begründet. a) In tatsächlicher Hinsicht steht auf der Grundlage der Parteianhörung des Klägers zur vollen Überzeugung des Gerichts (§ 286 ZPO) fest, dass die Beklagte auf Drittwebseiten oder Apps angefallene Daten des Klägers speichert. Wie der Kläger im Rahmen der Parteianhörung glaubhaft angegeben hat, besucht er regelmäßig die Internetseite bild.de. Überdies hat er den Vorhalt seines Prozessbevollmächtigten auf der Grundlage der diesem gegenüber schriftlich gemachten Angaben des Klägers bestätigt, dass er gelegentlich die Websites PayPal.com, jameda.de, shop-apotheke.de, eventim.de, ikea.de, zalando.de und netflix.com nutze. Es handelt sich hierbei sämtlich um Internetseiten, welche Facebook Business Tools installiert haben. Damit steht fest, dass es in der Vergangenheit zur Übermittlung von auf diesen Seiten angefallenen Daten des Klägers an die Beklagte gekommen ist. b) Es kann dahinstehen, ob die bloße Entgegennahme von Daten, welche Drittunternehmen der Beklagten im Rahmen der Facebook Business Tools übermittelt haben, als „Erheben“ von Daten durch die Beklagte im Sinne von Art. 4 Nr. 2 DSGVO anzusehen ist und ob im Hinblick auf die Übermittlung personenbezogener Daten des Klägers die Betreiber der Drittwebseiten oder Apps hierzu die Einwilligung des Klägers eingeholt haben. Denn jedenfalls speichert die Beklagte die Daten, wofür sie sich nicht auf eine vom Anbieter der Drittwebseite oder App eingeholte Einwilligung berufen kann. aa) Social-Media-Anbieter wie die Beklagte sind bei der Erhebung von Off-Site-Daten gemeinsam mit Drittunternehmen Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO für den Datenerhebungsvorgang (EuGH, Urteil vom 29.07.2019 – C-40/17, GRUR 2019, 977 Rn. 81 ff.). Es obliegt jedoch nicht dem Social-Media-Anbieter, sondern (nur) dem Drittunternehmen als Initiator des Datenverarbeitungsprozesses, die Einwilligung der betroffenen Person einzuholen (EuGH, aaO Rn. 102). Dieser Differenzierung liegt die Vorstellung zugrunde, dass die gemeinsame Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit zur Folge hat, und dass der Grad der Verantwortlichkeit jedes Mitverantwortlichen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (EuGH, aaO Rn. 70). Sollten die vom Kläger besuchten Drittwebseiten sowie Apps die Einwilligung des Klägers zur Weiterleitung von Daten an die Beklagte eingeholt haben, so rechtfertigte dies die Entgegennahme der Daten durch die Beklagte folglich auch dann, wenn dieser Vorgang auch in der Person der Beklagten als „Erheben“ von Daten zu qualifizieren sein sollte. bb) Ob der Kläger beim Besuch von Drittwebsites oder der Benutzung von Apps, die Meta Business Tools eingebunden haben - namentlich der regelmäßigen Nutzung von bild.de sowie der gelegentlichen Nutzung von PayPal.com, jameda.de, shop-apotheke.de, eventim.de, ikea.de, zalando.de und netflix.com - seine Einwilligung erteilt hat, dass Daten über seine „Events“ an die Beklagte weitergeleitet werden, ist offen. Soweit die Beklagte vorbringt, dass nach der mit ihrem jeweiligen Vertragspartner der Meta Business Tools getroffenen Vereinbarung es diesem obliege, die für die Weiterleitung von Daten erforderliche Einwilligung beim jeweiligen Nutzer der Website oder App einzuholen, bestehen erhebliche Zweifel, ob die Beklagte mit der Bereitstellung der Meta Business Tools tatsächlich das Ziel verfolgt, nur im Falle positiv erteilter Einwilligung Daten übermittelt zu erhalten. Die technische Ausgestaltung der Meta Business Tools legt eher die Annahme nahe, dass die Datenübermittlung in jedem Fall stattfinden solle. Denn ihren Vertragspartnern der Meta Business Tools stellt die Beklagte Cookies („fbc“ und „fbc“) zur Verfügung, welche auf den Websites der Vertragspartner als eigene Cookies („First Party Cookies“) installiert werden können. Blockiert ein Nutzer in seinem Browser Drittanbietercookies („Third Party Cookies“), so können diese von der Beklagten bereitgestellten Cookies gleichwohl gesetzt werden, weil es sich nicht in diesem Sinne um Drittanbietercokies handelt. Damit erfüllen die Meta Business Tools ihre Funktion der Weiterleitung von Daten auch dann, wenn beim Surfen im Internet sensibilisierte Einstellungen zum Schutz der Privatsphäre vorgenommen werden, was typischerweise keine Einwilligung zur Weiterleitung von Daten vermuten lässt. Auch bewirbt die Beklagte ihre sog. Conversions API gerade damit, dass dieses Tool Events von Nutzern aggregieren kann, die sich gegen die Nutzung ihrer Daten entscheiden haben (sog. Meta Playbook der Beklagten, Anlage K 11, S. 23). cc) Entscheidend kommt es nicht darauf an, ob der Beklagten Daten des Klägers ohne seine Einwilligung weitergeleitet worden sind. Denn jedenfalls fehlt die erforderliche Einwilligung des Klägers in die Speicherung der Daten durch die Beklagte. (1) Wird unterstellt, dass die Vertragspartner der Beklagten im Rahmen der Meta Business Tools auf allen vom Kläger besuchten Websites oder verwendeten Apps die Einwilligung des Klägers in die Weiterleitung von Daten an die Beklagte eingeholt haben, so bedarf die Speicherung dieser Daten gleichwohl einer gesonderten Rechtfertigung. Denn die Speicherung von Daten als Aufbewahrung zum Zweck weiterer Verarbeitung oder Nutzung stellt nach Art. 4 Nr. 2 DSGVO einen eigenständigen Fall der Datenverarbeitung dar, wobei im Hinblick auf die Speicherung die Beklagte nicht mehr gemeinsam mit dem Drittunternehmen handelt, sondern die Speicherung allein durch die Beklagte erfolgt. Auch die Beklagte selbst bringt zutreffend vor, dass es nach der Übermittlung von Daten durch Drittunternehmen an die Beklagte der Beklagten obliege, für die anschließende Verarbeitung dieser Daten eine eigene Rechtsgrundlage nach Art. 6 DSGVO herzustellen (Duplik vom 03.12.2024 Rn. 40 = eAkte Bl. 365). Soweit die Beklagte in der Klageerwiderung und in der Duplik die Auffassung vertreten hat, die vom Kläger beanstandete Datenverarbeitung finde gar nicht statt, weil die Beklagte aufgrund der vom Kläger verweigerten Einwilligung beim Kläger Off-Site-Daten nicht für personalisierte Werbung nutze, geht dies jedoch am Klägervortrag vorbei. Denn der Kläger hat der Beklagten bereits in der Klageschrift (S. 27 = eAkte Bl. 27) vorgeworfen, dass die Beklagte lediglich die Möglichkeit biete, der Nutzung der Daten für personalisierte Werbung zu widersprechen, jedoch der Sammlung und Speicherung der Daten nicht widersprochen werden könne. Dass die Beklagte die ihr übermittelten Off-Site-Daten speichert, auch wenn ein Facebook-Nutzer - wie der Kläger - in deren Nutzung für die Anzeige personalisierter Werbung nicht eingewilligt hat, ist in tatsächlicher Hinsicht jedenfalls zuletzt unstreitig (Schriftsatz der Beklagten vom 17.01.2025 = eAkte Bl. 544). (2) Es liegt weder eine Einwilligung des Klägers in die Datenspeicherung vor (Art. 6 Abs. 1 Buchst a DSGVO), noch ist die Speicherung durch eine der in Art. 6 Abs. 1 Buchst b bis f DSGVO genannten Tatbestände gerechtfertigt. Die Notwendigkeit für die Erfüllung eines Vertrags oder vorvertragliche Maßnahmen gemäß Art. 6 Abs. 1 Buchst b DSGVO kommt schon deshalb nicht in Betracht, weil die Beklagte es ihren Nutzern gerade freistellt, ob die Off-Site-Daten für nutzerspezifische Werbung verwendet werden dürfen. Damit ist die Nutzung von Off-Site-Daten kein notwendiger Bestandteil des Vertragsverhältnisses, was die Beklagte auch nicht behauptet hat. Dass eine Ansammlung der Daten, welche bei - wie im Streitfall - verweigerter Einwilligung für personalisierte Werbung gar nicht zur Verfügung stehen, zur Erfüllung des Vertragsverhältnisses über ein Facebook-Konto aus anderen Gründen notwendig wäre, hat die Beklagte nicht dargelegt. Die Speicherung ist auch nicht zur Wahrung der berechtigten Interessen der Beklagten erforderlich (Art. 6 Abs. 1 Buchst f DSGVO). Soweit die Beklagte vorgebracht hat, sie speichere die Off-Site-Daten, um die Sicherheit ihrer Server zu schützen und um sicherzustellen, dass Kriminelle die streitgegenständlichen Business Tools nicht ausnutzen, um über diese Produkte Spam, Scraping oder andere Cyberangriffe durchzuführen, wird der Rechtfertigungstatbestand berechtigter Interessen nicht schlüssig dargelegt. Es erscheint geradezu widersinnig, dass die Beklagte deshalb über bei ihr gespeicherte Daten verfügen müsste, um die missbräuchliche Verwendung eben dieser Daten zu bekämpfen, welche die Beklagte im Übrigen überhaupt nicht benötigt und mit welchen sie - da es sich um auf Drittwebseiten und Apps angefallene Daten handelt - auch überhaupt nichts zu schaffen hat, sofern sie die Daten nicht für personalisierte Werbung nutzen darf. Verweigert ein Facebook-Nutzer die Einwilligung, Off-Site-Daten für personalisierte Werbung zu nutzen, so liegt der einzig rechtmäßige Umgang mit aufgrund der Meta Business Tools der Beklagten übermittelten Daten dieses Nutzers darin, die Daten zu löschen. Weshalb die Beklagte die Daten gleichwohl nicht löscht, bleibt im Dunkeln. Entscheidend kommt es auf die von der Beklagten mit der Datenakkumulation verfolgten Zwecke nicht an. Da die Beklagte als Verantwortliche für die Datenspeicherung nach Art. 5 Abs. 2 DSGVO die Beweislast für einen Rechtfertigungstatbestand trägt (vgl. EuGH, Urteil vom 24.02.2022 - C-175/20, EuZW 2022, 527 Rn. 77, 81) und ein Rechtfertigungstatbestand schon nicht schlüssig vorgetragen ist, ist die Speicherung rechtswidrig. c) Nachdem die Beklagte die von Drittwebseiten oder Apps im Rahmen der Facebook Business Tools ihr übermittelten Daten rechtswidrig speichert, kann der Kläger nach Art. 17 Abs. 1 DSGVO die Löschung verlangen. 3. Der Klageantrag Ziffer 5 ist dem Grunde nach, aber nicht in der geltend gemachten Höhe begründet. a) Wie ausgeführt, steht zur Überzeugung des Gerichts fest, dass im Rahmen von Facebook Business Tools auf Drittwebseiten oder Apps angefallene Daten des Klägers an die Beklagte übermittelt worden sind und von dieser gespeichert werden, ohne dass hierfür ein Rechtfertigungstatbestand vorläge. Der Kläger hat auch nachgewiesen, dass ihm ein immaterieller Schaden erwachsen ist (Art. 82 Abs. 1 DSGVO). Der Betroffene eines Datenschutzrechtsverstoßes muss nachweisen, dass ihm über den bloßen Verstoß hinaus ein immaterieller Schaden entstanden ist (EuGH, Urteil vom 25.01.2024 – C-687/21, EuZW 2024, 278 Rn. 60; vom 11.04.2024 – C-741/21, NJW 2024, 1561 Rn. 36). Dabei kann aber selbst ein nur kurzzeitiger Verlust der Kontrolle des Betroffenen über seine personenbezogenen Daten einen immateriellen Schaden darstellen, ohne dass dieser Begriff des immateriellen Schadens den Nachweis zusätzlicher negativer Folgen erforderte (EuGH, Urteil vom 04.10.2024 – C-200/23, NJW 2025, 40 Rn. 156). Der Betroffene muss aber jedenfalls nachweisen, dass er einen Schaden in Form des Kontrollverlusts erlitten habe (EuGH, Urteil vom 20.06.2024 - C-590/22, ZIP 2024, 2035 Rn. 33; BGH, Urteil vom 18.11.2024 – VI ZR 10/24, NJW 2025, 298 Rn. 31 f.). Gemessen hieran ist dem Kläger ein Schaden erwachsen. Es steht fest, dass der Kläger Webseiten besucht hat, welche Facebook Business Tools nutzen und daher Daten an die Beklagte übermittelt hat. Diese Daten kann der Kläger zwar von seinem Nutzerkonto trennen, so dass sie diesem nicht mehr zugeordnet werden können, er kann sie jedoch nicht durch Konfiguration seines Kontos löschen. Welchen Zweck die Beklagte mit diesen angesammelten Daten verfolgt, bleibt im Dunkeln. Dadurch hat der Kläger keine Kontrolle damit, was mit den auf Drittwebseiten angefallenen Eventdaten bei der Beklagten geschieht. b) Bei der Höhe des dem Kläger zuzuerkennenden Schadensersatzes berücksichtigt das Gericht, dass einerseits eine Mehrzahl von Datenübertragungen gegenständlich ist, weil der Kläger mehrere Webseiten unter Einbindung von Facebook Business Tools besucht hat, namentlich bild.de regelmäßig. Andererseits hat der Kläger im Rahmen der Parteianhörung nicht den Eindruck erweckt hat, als verursache dieser Umstand ihm größeren seelischen Schmerz, vielmehr gab er lediglich an, es wäre ihm lieber, die Daten würden gelöscht. Unter Abwägung dieser Gesichtspunkte erachtet das Gericht einen Anspruch auf immateriellen Schadensersatz in Höhe von 300 € als angemessen. Soweit der Kläger vorgebracht hat, es müsse auch der Gesichtspunkt der Prävention gegen künftige Verstöße sowie der Vergeltung zu berücksichtigen sein, handelt es sich hierbei um Umstände, welche im Rahmen von Art. 82 Abs. 1 DSGVO nicht von Bedeutung sind, nachdem diese Regelung ausschließlich eine Ausgleichsfunktion erfolgt (EuGH, Urteil vom 11.04.2024 - C-741/22, NJW 2024, 1561 Rn. 59 f., 64 f.). Der Kläger kann sich auch nicht mit Erfolg darauf berufen, unter dem Gesichtspunkt der Verletzung des aus Art. 1 und 2 GG abgeleiteten allgemeinen Persönlichkeitsrechts sei ein höherer immaterieller Schadensersatz zuzuerkennen. Unabhängig von der Frage, inwieweit neben Art. 82 Abs. 1 DSGVO der Rückgriff auf weitergehende Schadensersatznormen nach nationalem Recht überhaupt eröffnet ist, liegt jedenfalls kein solcher Sachverhalt vor, bei welchem der Rechtsschutz von Würde und Ehre des Menschen als verkümmert anzusehen wäre, wenn nicht eine Sanktion in Form einer Geldentschädigung verhängt würde (vgl. zu diesem Maßstab BGH, Urteil vom 17.12.2013 - VI ZR 211/12, BGHZ 199, 237 Rn. 40 mwN). Immerhin lassen sich die von der Beklagten gesammelten Daten vom Nutzerkonto trennen. Auch wenn sich diese Trennung für den Nutzer wie den Kläger nicht kontrollieren lässt und er sich auf deren Unumkehrbarkeit jedenfalls nicht verlassen kann, so gibt es doch keinen Anhaltspunkt für eine nennenswert fühlbare Beeinträchtigung des Klägers durch die rechtswidrige Datenspeicherung bei der Beklagten. III. Da die Kosten der außergerichtlichen Rechtsverfolgung auch für einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO ersatzfähig sind (BGH, Urteil vom 18.11.2024 – VI ZR 10/24, NJW 2025, 298 Rn. 79 f), kann der Kläger als Nebenforderung Ersatz vorgerichtlicher Anwaltskosten fordern, soweit die Klage in der Hauptsache Erfolg hat. Für die außergerichtliche Tätigkeit seiner Prozessbevollmächtigten in Form des Schriftsatzes vom 21.09.2023 (Anlage K 3) sind Anwaltskosten in Höhe einer 1,3 Geschäftsgebühr nebst Auslagenpauschale und Umsatzsteuer aus einem Gegenstandswert in Höhe von 1.300 € (Schadensersatzanspruch: 300 €; Löschungsanspruch: 1.000 €) erstattungsfähig. Der Umstand, dass die Beklagte den Zugang dieses Schreibens bestreitet, steht dem nicht entgegen, weil die Anwaltskosten unabhängig vom Zugang angefallen sind. IV. Nachdem der Zugang des Anwaltsschriftsatzes vom 21.09.2023 (Anlage K 3) bestritten und nicht nachgewiesen ist, fehlt es am Nachweis einer verzugsbegründenden Mahnung, weshalb die Schmerzensgeldforderung erst ab Rechtshängigkeit zu verzinsen ist (§ 291 BGB). V. Die Kostenentscheidung folgt aus § 92 Abs. 1 ZPO, die Entscheidung zur vorläufigen Vollstreckbarkeit aus § 709 Satz 1 und 2 ZPO. VI. Bei der Festsetzung des Streitwerts bewertet das Gericht den Feststellungsantrag (Ziffer 1) und den Unterlassungsantrag (Ziffer 2) jeweils mit 3.000 €, die Anträge auf Unterlassung der Datenlöschung (Ziffer 3) und auf Datenlöschung (Ziffer 4) jeweils mit 1.000 € und den Antrag auf Geldentschädigung entsprechend der Mindestvorstellung des Klägers mit 5.000 € (Ziffer 5). Der Kläger macht gegen die Beklagte Ansprüche wegen des Vorwurfs der rechtswidrigen Verarbeitung personenbezogener Daten des Klägers geltend. Der Kläger unterhält unter der E-Mail-Adresse „(...)@web.de“ seit dem Jahr 2009 ein Nutzerkonto bei dem sozialen Netzwerk Facebook, deren Betreiberin die Beklagte ist. Bei der Registrierung eines Facebook-Kontos müssen Nutzer wie der Kläger den Nutzungsbedingungen der Beklagten zustimmen und können das soziale Netzwerk anschließend ohne Verpflichtung zur Zahlung eines Entgelts nutzen. Die Beklagte generiert Einnahmen insbesondere dadurch, dass sie Werbetreibenden die Möglichkeit bietet, gegen Entgelt Anzeigen auf Facebook zu schalten. Zur Effektivierung dieses Geschäftsmodells bietet die Beklagte Drittunternehmen sogenannte Meta Business Tools (unter anderem „Meta Pixel“, „App Events über Facebook-SDK“, „Conversions API“ und „App Events API“) an, die diese in ihre Websites und/oder Apps integrieren können. Drittunternehmen, die Meta Business Tools nutzen wollen, stimmen hierfür den „Nutzungsbedingungen für Meta Business Tools“ (Anlage B 5) der Beklagten zu. Wenn ein Drittunternehmen Meta Business Tools in seine Website oder App einbindet, werden Daten, die aus Kunden-Interaktionen gewonnen werden („Events“), gesammelt und an die Beklagte weitergeleitet. Die Weiterleitung dieser sog. Off-Site-Daten an die Beklagte erfolgt unabhängig davon, ob eine Person ein Facebook-Konto unterhält. Ist die betreffende Person mit einem Facebook-Konto registriert, so werden seine Off-Site-Daten automatisch mit dem Facebook-Konto des Nutzers verknüpft, wobei der Nutzer aufgrund des von seinem Browser oder Endgerät hinterlassenen digitalen Fingerabdrucks (mit einer gewissen Unsicherheit) erkannt werden kann. Die Verknüpfung der Off-Site-Daten mit den personenbezogenen Daten, die aus der Facebook-Nutzung entstehen (On-Site-Daten), werden von der Beklagten benutzt, um die bei Facebook angezeigte Werbung spezifischer auf den jeweiligen Nutzer abzustimmen (personalisierte Werbung). Durch Konfiguration seines Facebook-Kontos kann der jeweilige Nutzer seine Einwilligung in diese Verknüpfung verweigern mit der Folge, dass die Off-Site-Daten nicht für die Anzeige personalisierter Werbung genutzt werden. Auch kann die bereits erfolgte Verknüpfung zwischen Off-Site-Daten und dem Facebook-Konto in den Einstellungen zur Datenverarbeitung durch die Option „Verknüpfung mit künftigen Aktivitäten aufheben“ wieder getrennt werden. Eine Konfiguration des Facebook-Kontos, welches zur Löschung der Off-Site-Daten führte, bietet die Beklagte hingegen nicht an. Der Kläger hat seine Einwilligung zur Verknüpfung von Off-Site-Daten mit seinem Facebook-Konto nicht erteilt. Der Kläger bringt vor, die Verarbeitung von Off-Site-Daten des Klägers durch die Beklagte sei rechtswidrig, nachdem die Beklagte die hierfür erforderliche Einwilligung des Klägers nicht eingeholt habe. Es obliege der Beklagten und nicht den Betreibern der Drittwebseiten oder Apps, hierfür eine Einwilligung einzuholen. Überdies habe die Beklagte die erhobenen Daten in unsichere Drittstaaten, insbesondere in die USA, weitergeleitet. Diese Datenübermittlung sei jedenfalls vom 25.05.2018 bis zum 09.07.2023 rechtswidrig gewesen, nachdem der EuGH das Abkommen zur Datenübermittlung „Privacy Shield“ für ungültig erklärt habe. Der Kläger ist der Auffassung, er habe gegen die Beklagte einen Anspruch darauf, dass die von ihm erhobenen Daten unverändert am gespeicherten Ort belassen werden, bis er deren Löschung verlange. Darüber hinaus stünden ihm gegen die Beklagte wegen der rechtswidrigen Verarbeitung Ansprüche auf Feststellung, Unterlassung sowie Verpflichtung zur Löschung zu. Überdies habe er einen Schadensersatzanspruch wegen immaterieller Schäden. Als immaterielle Schäden führt er ein Gefühl des Überwachtseins und die Ungewissheit über die Datenverarbeitung an, die beim Kläger zu einer Einschränkung seines Surfverhaltens („chilling effect“) führen würden. Ferner habe die Datenverarbeitung zu einem Kontrollverlust über seine Daten geführt. Schließlich könne der Kläger von der Beklagten auch Freistellung von seinen vorgerichtlichen Anwaltskosten wegen des Anwaltsschriftsatzes vom 21.09.2023 (Anlage K 3) verlangen. Der Kläger beantragt, 1. Es wird festgestellt, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks ”Facebook” unter der E-Mail-Adresse „(...)@web.de“ die Verarbeitung von folgenden personenbezogenen Daten in folgendem Umfang seit dem 25.05.2018 nicht gestattet: a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d.h. - E-Mail der Klagepartei - Telefonnummer der Klagepartei - Vorname der Klagepartei - Nachname der Klagepartei - Geburtsdatum der Klagepartei - Geschlecht der Klagepartei - Ort der Klagepartei - Externe IDs anderer Werbetreibender (von der Meta Ltd. “external_ID” genannt) - IP-Adresse des Clients - User-Agent des Clients (d.h. gesammelte Browserinformationen) - interne Klick-ID der Meta Ltd. - interne Browser-ID der Meta Ltd. - Abonnement –ID - Lead-ID - anon_id sowie folgende personenbezogene Daten der Klagepartei b) auf Webseiten - die URLs der Webseiten samt ihrer Unterseiten - der Zeitpunkt des Besuchs - der Referrer (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist) - die von der Klagepartei auf der Webseite angeklickten Buttons sowie - weitere von der Meta „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren c) in mobilen Dritt-Apps - der Name der App sowie - der Zeitpunkt des Besuchs - die von der Klagepartei in der App angeklickten Buttons sowie - die von der Meta „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren. 2. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten – und Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten der Klagepartei gemäß des Antrags zu 1. zu verarbeiten. 3. Die Beklagte wird verpflichtet, sämtliche unter dem Antrag zu 1 a., b. und c. aufgeführten, seit dem 25.05.2018 bereits verarbeiteten personenbezogenen Daten ab sofort unverändert am gespeicherten Ort zu belassen, d.h. insbesondere diese erst zu löschen, wenn die Klagepartei sie hierzu auffordert, spätestens jedoch sechs Monate nach rechtskräftigem Abschluss des Verfahrens, und diese bis zu diesem Zeitpunkt nicht zu verändern, intern nicht weiter zu verwenden, und nicht an Dritte weiterzugeben. 4. Die Beklagte wird verpflichtet, sämtliche gemäß dem Antrag zu 1 a. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten der Klagepartei auf ihre Aufforderung hin, spätestens jedoch sechs Monate nach rechtskräftigem Abschluss des Verfahrens, vollständig zu löschen und der Klagepartei die Löschung zu bestätigen sowie sämtliche gemäß dem Antrag zu 1 b. sowie c. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren. 5. Die Beklagte wird verurteilt, an die Klagepartei eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 5.000,00 Euro beträgt, nebst Zinsen i. H. v. fünf Prozentpunkten über dem Basiszinssatz seit dem 20.10.2023, zu zahlen. 6. Die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Anwaltskosten i.H.v. 1.214,99 Euro freizustellen. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte bringt vor, ihre Verarbeitung von Off-Site-Daten sei rechtmäßig. Die Verantwortung, die Einwilligung zur Übermittlung von Off-Site-Daten einzuholen, liege beim Betreiber der Drittwebsite oder App. Die Beklagte sei weder dafür verantwortlich, insoweit eine Einwilligung einzuholen, noch wäre dies technisch möglich. Soweit der Kläger sich dagegen wende, dass die Off-Site-Daten für personalisierte Werbung genutzt würden („streitgegenständliche Datenverarbeitung“), erfolge dies beim Kläger gerade nicht, nachdem er seine Einwilligung nicht erteilt habe. Sofern der Kläger sich gegen andere Verarbeitungszwecke wenden sollte, müsse er benennen, gegen welche Verarbeitungszwecke er sich richte, was er nicht darlege. Sensible Daten nach Art. 9 DSGVO würden nicht an die Beklagte übermittelt, nachdem der Vertrag mit den Drittunternehmen diesen die Übermittlung solcher Daten ausdrücklich verbiete. Außerdem seien die Systeme der Beklagten so ausgestaltet, dass sie solche Daten herausfilterten. Für die Datenübermittlung der Beklagten zwischen der EU und den USA könne sich die Beklagte auf den Datenschutzrahmen EU-USA („DSR“) stützen. Im Zeitraum vom 25.05.2018 bis zum 09.07.2023 sei die Übermittlung nicht rechtswidrig gewesen, da die Entscheidung des EuGH zum „Privacy Shield“-Abkommens nicht zurückwirke. Anschließend habe sich die Beklagte vorbehaltlich rechtlicher Garantien auf Standardvertragsklauseln stützen dürfen. Die Anträge des Klägers seien teilweise bereits mangels Bestimmtheit unzulässig, jedenfalls aber unbegründet. Dem Kläger stehe kein Unterlassungsanspruch zu. Der Kläger habe insoweit kein Rechtsschutzinteresse, da die Beklagte eine rechtswidrige Datenverarbeitung von Gesetzes wegen unterlassen müsse. Ferner habe der Kläger auch keinen Anspruch darauf, dass die Beklagte seine personenbezogenen Daten weiterhin speichere oder sie unverändert am Speicherort belasse. Dem Kläger stehe schließlich auch kein Anspruch auf Löschung und Anonymisierung der Daten zu. Für die weiteren Einzelheiten des Sach- und Streitstands wird ergänzend auf die gewechselten Schriftsätze der Parteien nebst Anlagen sowie das Protokoll der mündlichen Verhandlung vom 12.12.2024 Bezug genommen.