6 U 11/25

Die Berufung des Klägers wird zurückgewiesen. Die Kosten des Berufungsverfahrens werden dem Kläger auferlegt. Dieses Urteil sowie das angefochtene Urteil sind ohne Sicherheitsleistung vorläufig vollstreckbar. Die Revision wird nicht zugelassen. G r ü n d e : I. Von der Darstellung der tatsächlichen Feststellungen wird gemäß §§ 540 Abs. 2, 313a Abs. 1 S. 1, 544 Abs. 2 ZPO abgesehen. II. Die Berufung des Klägers ist bereits teilweise unzulässig und hat in der Sache insgesamt keinen Erfolg. 1. Die Abweisung des geltend gemachten Schadensersatzanspruchs ist von dem Kläger bereits nicht in rechtserheblicher Weise angegriffen worden, weshalb die Berufung insoweit unzulässig ist. Nach § 520 Abs. 3 Nr. 2 ZPO muss die Berufungsbegründung die Umstände bezeichnen, aus denen sich nach Ansicht des Berufungsklägers die Rechtsverletzung und deren Erheblichkeit für die angefochtene Entscheidung ergibt. Dazu gehört eine aus sich heraus verständliche Angabe, welche bestimmten Punkte des angefochtenen Urteils der Berufungskläger bekämpft und welche Gründe er ihnen entgegensetzt (BGH NJW 1998, 3126; BGH NJW 2003, 3345; BGH, NJW-RR 2006, 499 [500]). Die Berufungsbegründung muss aber auf den konkreten Streitfall zugeschnitten sein. Es reicht nicht aus, die Auffassung des Erstgerichts mit formularmäßigen Sätzen oder allgemeinen Redewendungen zu rügen oder lediglich auf das Vorbringen in erster Instanz zu verweisen (BGH NJW-RR 2021, 1296). Bei einem teilbaren Streitgegenstand oder in Fällen der Abweisung mehrerer verschiedener Ansprüche muss der Berufungskläger seine Begründung auf alle Teile des angefochtenen Urteils erstrecken, hinsichtlich derer er eine Änderung beantragt (BGH NJW-RR 2001, 789). Sonst ist die Berufung wegen der nicht angegriffenen Teile bzw. Ansprüche unzulässig (Weigel in: Saenger/Ullrich/Siebert, Zivilprozessordnung, Kommentierte Prozessformulare, 5. Auflage, ZPO § 520 Rn. 23). Hat das Erstgericht die Abweisung eines einheitlichen Klageanspruchs zudem auf zwei rechtlich voneinander unabhängige Gründe gestützt, von denen jeder für sich die Abweisung trägt, liegt eine hinreichende Berufungsbegründung nur vor, wenn beide Gründe - in für sich ausreichender Weise - angegriffen werden. Stellt der Rechtsmittelkläger nur einen der beiden Gründe in Frage, so ist sein Rechtsmittel unzulässig (vgl. BGH NJW 2002, 682; NJW-RR 2015, 756; NJW-RR 2015, 757; NJW-RR 2016, 1267; NJOZ 2022, 1126; Heßler in: Zöller, Zivilprozessordnung, 35. Auflage 2024, § 520 ZPO, Rn. 39). Vorliegend hat das Landgericht einen Schadensersatzanspruch des Klägers verneint, da der Kläger bereits den Nachweis eines Schadens nicht geführt habe, jedenfalls aber der Kausalitätsnachweis nicht ansatzweise geführt sei, und damit die Abweisung des Antrages auf zwei rechtlich voneinander unabhängige Gründe gestützt. Zwar geht der Kläger in seiner Berufungsbegründung auf den ersten Punkt noch mit hinreichendem Bezug zu den Ausführungen des Landgerichts ein, indem er ausführt, dass er mit Schriftsatz vom 14.05.2024 sowie in der mündlichen Verhandlung vom 19.06.2024 vor dem Landgericht ausreichend hierzu vorgetragen habe und darüber hinaus keine weiteren Anforderungen an den Nachweis eines ideellen Schadens gestellt werden dürften. Auf den zweiten die Abweisung tragenden Gesichtspunkt - den fehlenden Kausalitätsnachweis - geht der Kläger indes in seiner Berufungsbegründung nicht zugeschnitten auf den Streitfall ein, vielmehr enthält die Berufungsbegründung insoweit nur Textbausteine, die teilweise zudem offenkundig andere Fallkonstellationen betreffen. Das Landgericht hat einen Kausalzusammenhang vor dem Hintergrund verneint, dass der Kläger die mit dem Account bei der Beklagten verknüpfte E-Mail-Adresse bereits seit langer Zeit standardmäßig nutze und sich zudem ausweislich der von ihm selbst in Bezug genommenen Internetseite seine Betroffenheit von zwei weiteren Datenlecks vor dem hier streitgegenständlichen Vorfall ergebe. Vor diesem Hintergrund sei es nicht plausibel, dass das vermehrte Spam-Aufkommen mit dem bei der Beklagten entstandenen Datenleck in Verbindung zu bringen sei. Hierauf geht der Kläger in seiner Berufungsbegründung mit keinem Wort ein. Der Kläger führt lediglich allgemein zur Kausalität aus und verweist darauf, hierzu bereits erstinstanzlich hinreichend vorgetragen zu haben, wobei er auf Seite 25 f. seiner Klageschrift verweist, welche allerdings nur aus 23 Seiten besteht. Im Weiteren führt er dazu aus, dass die Beklagte eine Funktion zur Profilidentifikation mittels Telefonnummer zur Verfügung gestellt habe bzw. Voreinstellungen vorgegeben habe, welche eine Suche über die Telefonnummer nicht nur durch Freunde ermögliche, was aber offenkundig nichts mit dem hiesigen Streitfall zu tun hat. Der Kläger begründet seine Ansprüche vorliegend unter Bezug auf ein Datenleck bei der Beklagten aus dem Jahr 2021, welches lediglich ein Auffinden der Nutzer-ID mittels der zuvor bereits bekannten E-Mail-Adresse bzw. Telefonnummer ermöglicht. Dementsprechend ist auch die Rüge der Hinweispflichtverletzung durch das Landgericht bereits nicht zulässig erhoben (vgl. S. 12 der Berufungsbegründung), da der Kläger nicht ausführt, was er bei einem erteilten Hinweis konkret entscheidungserheblich vorgetragen hätte. Im Hinblick auf die weiteren Ansprüche genügt die Berufungsbegründung - auch wenn sie sich offenkundig ebenfalls in Teilen aus Textbausteinen zusammensetzt - den Anforderungen des § 520 Abs. 3 Satz 2 ZPO, da sie insoweit noch eine hinreichend auf den Streitfall zugeschnittene Rüge der Verletzung materiellen Rechts enthält. 2. In der Sache ist die Berufung insgesamt unbegründet. a) Unabhängig davon, dass die Abweisung des Schadensersatzanspruchs bereits nicht in zulässiger Weise angegriffen worden ist (vgl. oben unter Ziffer II.1.), hat das Landgericht aber auch in der Sache einen Anspruch des Klägers auf Ersatz immateriellen Schadens zu Recht verneint. Ein solcher kommt weder aus Art. 82 Abs. 1 DSGVO noch einer sonstigen Anspruchsgrundlage in Betracht. aa) Der Kläger leitet einen Verstoß der Beklagten gegen die DSGVO ausschließlich aus einem Zusammenhang mit dem bei ihr im Jahr 2021 aufgetretenen Datenleck her. Es kann aber bereits nicht festgestellt werden, dass der Kläger - wofür er darlegungs- und beweisbelastet ist - überhaupt von diesem Datenleck betroffen war und deshalb seine Daten in dem offenbar erst 2023 in den Verkehr gelangten Datensatz enthalten waren. Der Kläger trägt bereits keine ausreichenden Indizien vor, die auf seine Betroffenheit von dem Datenleck schließen lassen. Die Beklagte hat unstreitig betroffene Nutzer über den Vorfall informiert. Ebenfalls unstreitig gehörte der Kläger nicht zu diesem Kreis. Die Beklagte hat zudem durchgehend bestritten, dass der Kläger von dem Datenleck betroffen war und ausgeführt, insofern nach Eingang der Klage nochmals eine interne Recherche durch Abgleich der Daten des Klägers mit dem Datensatz der 5,4 Millionen Nutzerdaten, welche von unbekannten Dritten infolge des API-Bugs zusammengestellt werden konnten, durchgeführt zu haben, die jedoch den Verdacht des Klägers nicht habe bestätigen können. Hierauf geht der Kläger bereits nicht ein, er folgert seine Betroffenheit vielmehr alleine daraus, dass die Internetplattform „X.“ unter Eingabe der E-Mail-Adresse E-Mail01 seine Betroffenheit aufweise, was jedoch nicht als ausreichend angesehen werden kann (so etwa auch OLG Oldenburg, Hinweisbeschluss vom 24.02.2025 – 13 U 78/24, n.v., Anlagenkonvolut B20; OLG Koblenz, Urteil vom 28.01.2025 – 7 U 767/24, GRUR-RS 2025, 3208, Rn. 23; OLG München, Beschluss vom 07.08.2024 – 24 U 1920/24, n.v., Anlagenkonvolut B20; OLG Celle, Beschluss vom 14.10.2024 – 5 U 139/24, n.v., Anlagenkonvolut B20, OLG München, Beschluss vom 19.11.2024 – 21 U 3178/24, n.v., Anlagenkonvolut B20). Die Verlässlichkeit der Webseite lässt sich nicht nachvollziehen und ergibt sich insbesondere nicht alleine daraus, dass - wie vom Kläger geltend gemacht - das Bundesamt für Sicherheit und Informationstechnik (BSI) auf diese Webseite verweist. Das BSI kann die Quelle der Informationen des Online-Dienstes nicht nachvollziehen oder bestätigen. Insofern wird – wie von der Beklagten unbestritten vorgetragen – auf der Webseite des BSI in Bezug auf den Online-Dienst „D.“ auch explizit ausgeführt: „Das BSI kann keine Aussage zur Qualität und Aktualität der dort hinterlegten Daten treffen.“ Auf welcher Grundlage der Betreiber der Internetseite F. (oder P.) die Betroffenheit individueller Nutzer ermittelt, ist nicht ersichtlich und wird auch vom Kläger nicht hinreichend dargetan. Der Kläger führt zur Funktionsweise lediglich aus, dass auf Datenbankauszüge zugegriffen werde (sog. Datenbankdumps) und diese durch sog. „Pastebins“ auf die eingegebenen Daten hin untersucht würden. Komme es zu einem Treffer, stünde die Betroffenheit fest (vgl. Replik Seite 3). Woher aber die Datensätze stammen und auf welchen Quellen diese wiederum basieren, erschließt sich nicht, weshalb die Verlässlichkeit der von der Plattform D. gegebenen Informationen nicht beurteilt werden kann. Eine Betroffenheit des Klägers von dem Datenleck kann dann auch nicht alleine aus dem von dem Kläger behaupteten vermehrten Spam-Aufkommen sowie der Vielzahl der ihn erreichenden unerwünschten Anrufe hergeleitet werden. Der Kläger hat in seiner Anhörung ausgeführt, dass er seine E-Mail-Adresse schon seit vielen Jahren standardmäßig nutzt und auch seine Telefonnummer schon bei anderen Dienstleistern – wie etwa W. – hinterlegt habe, weshalb durchaus andere Möglichkeiten in Betracht kommen, dass Unbekannte an die Daten gelangt sind. bb) Ob die dargelegten Umstände jedenfalls zu einer sekundären Darlegungslast der Beklagten führen, kann hier dahin gestellt bleiben, da die Beklagte einer solchen vorliegend hinreichend nachgekommen ist. Die Beklagte hat vorgetragen, dass sie interne Recherchen vorgenommen habe und der Kläger hiernach nicht von dem API-Bug betroffen sei. Zudem hat sie die tatsächlichen Umstände dargelegt, auf die sie diese Angabe stützt. Die Beklagte hat ausgeführt, im Januar 2022 durch ihr „Bug Bounty“-Programm von dem API-Bug erfahren zu haben (vgl. S. 12 der Klageerwiderung). Nach Abschluss der gründlichen Untersuchung seien die Nutzer öffentlich informiert und alle von dem Datenleck Betroffenen im Zeitraum zwischen dem 11. und 25. August 2022 benachrichtigt worden (vgl. S. 13 der Klageerwiderung). Nach dem Ergebnis ihrer internen Überprüfung gehöre der Account der Klagepartei nicht zu den B.-Accounts, die von dem API-Bug im Jahr 2021 betroffen waren, sodass der Kläger keine Mitteilung erhalten habe (vgl. S. 9 der Klageerwiderung). Sie habe im Hinblick auf die E-Mail-Adresse des Klägers keinen Treffer feststellen können. Nach den im Herbst 2022 und Anfang 2023 erschienen Medienberichten habe sie umgehend die Behauptung, kriminelle Akteure hätten mithilfe des API-Bugs zusätzliche Datensätze zusammengestellt, auf ihre Richtigkeit hin überprüft. Bei ihrer gründlichen Untersuchung des Vorfalls betreffend den 200 M-Datensatz sei festgestellt worden, dass man mit Hilfe des API-Bugs weder die E-Mail-Adresse noch die Telefonnummer oder den Nutzernamen eines Nutzers direkt aus den B.-Systemen habe erhalten können (vgl. S. 7 und 11 der Klageerwiderung). Solche Informationen hätten durch das Auslesen von öffentlichen Informationen außerhalb des B.-Dienstes erlangt werden können. Nach umfassender interner Analyse des schließlich vollständig online zur Verfügung gestellte 200 M-Datensatzes stehe fest, dass es für eine Verbindung mit dem API-Bug keine Beweise gebe. Zwischen dem 5,4 M-Datensatz und dem 200 M-Datensatz bestünden wesentliche Unterschiede (vgl. S. 10 der Berufungserwiderung). Unter anderem erschienen die Datensätze in unterschiedlichen Formaten. Das Format des 200 M-Datensatzes weise nicht darauf hin, dass es sich um von B. gewonnene Daten handele. Im 200 M-Datensatz seien zudem anders als im 5,4 M-Datensatz gerade keine B.-IDs enthalten, die für jedes Nutzerkonto existierten, jeweils einzigartig seien und allein aus Zahlen bestünden. Der 200 M-Datensatz enthalte auch keine Telefonnummern. Darüber hinaus lägen keine Hinweise dafür vor, dass Passwörter von Nutzern kompromittiert worden seien. Bei dem 200 M-Satz handele es sich wahrscheinlich um eine Sammlung von Daten, die bereits online über verschiedene Quellen öffentlich zugänglich seien (vgl. S. 15 der Klageerwiderung). Mehr als dieser detaillierte Vortrag kann von der Beklagten in keinem Fall erwartet werden (s. auch OLG Celle, Beschluss vom 14.10.2024 – 5 U 139/24, n.v., Anlagenkonvolut B 20). Die Beklagte ist insbesondere nicht verpflichtet, ihre Feststellungen durch Vorlage der geprüften Datensätze zu belegen. Eine sekundäre Darlegungslast begründet keine prozessuale Verpflichtung, Unterlagen vorzulegen. Eine Pflicht zur Vorlage von Urkunden der nicht beweisbelasteten Partei folgt nur aus den speziellen Vorschriften der §§ 422, 423 ZPO oder aus einer Anordnung des Gerichts nach § 142 Abs. 1 ZPO und kann aus den Grundsätzen der sekundären Behauptungslast nicht abgeleitet werden (BGH, Beschluss vom 23.02.2022, VII ZR 252/20, juris, Ls. 1 und Tz. 13, m.w.N.). cc) Selbst wenn man aber die Verlässlichkeit der Internetseite „www.D..com“ zu Gunsten des Klägers unterstellt und damit von einer Betroffenheit des Klägers von dem Datenleck bei der Beklagten im Jahr 2021 ausginge sowie im weiteren seinen Vortrag zu einem ihm entstandenen immateriellen Schaden infolge eines erlittenen Kontrollverlustes über seine Daten als ausreichend erachtet, kann jedenfalls - wie vom Landgericht zutreffend ausgeführt - nicht festgestellt werden, dass dieser kausal auf den API-Bug zurückgeführt werden kann. Denn ausweislich der Internetseite „www.D..com“, deren Verlässlichkeit dann auch insoweit zu unterstellen ist, war die E-Mail-Adresse des Klägers bereits zuvor von zwei weiteren Datenlecks aus den Jahren 2012 und 2022 betroffen. Der Kläger hat seine Kontrolle über seine E-Mail-Adresse daher bereits vor dem hier streitgegenständlichen Datenleck verloren. Zwar steht grundsätzlich das Risiko, auch Dritte könnten die Daten nicht datenschutzkonform verarbeiten, der Darlegung eines Kontrollverlustes nicht entgegen. Allerdings gilt dies nur dann, wenn sich dies nicht unstreitig vor dem Eintritt des Datenschutzvorfalls verwirklicht hat (vgl. BGH GRUR 2024, 1910, Rn. 42 - Scraping; OLG Dresden GRUR-RS 2025, 1215, Rn. 13 - Kontrollverlust; KG, Beschluss vom 26.02.2025, 24 U 127/24, n.v., Anlagenkonvolut B 20). Das ist hier gerade nicht der Fall. Gegen eine Kausalität des hier streitgegenständlichen Datenlecks spricht vielmehr wiederum, dass der Kläger im Rahmen seiner persönlichen Anhörung den Beginn eines vermehrten Spam-Aufkommens mit 2021 oder 2022 angegeben hat, der auf der Internetseite „www.D..com“ in Bezug genommene Datensatz aber erst 2023 in einem Hackerforum erschienen sein soll. b) Es kann dahin gestellt bleiben, ob der mit dem Antrag zu Ziffer 2. verfolgte Feststellungsantrag bereits wegen Fehlens des erforderlichen Feststellungsinteresses unzulässig ist (vgl. OLG München, GRUR-RS 2025, 3209 Rn. 29), da dieser jedenfalls aus den oben ausgeführten Gründen ebenfalls unbegründet ist. c) Der unter Ziffer 3. geltend gemachte Antrag, es zu unterlassen, personenbezogene Daten des Klägers Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen, ist bereits unzulässig. Der Klageantrag ist insoweit zu unbestimmt. Ein Unterlassungsantrag darf nicht derart undeutlich gefasst sein darf, dass die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt (BGH, GRUR 2022, 1447 –Servicepauschale II). Eine hinreichende Bestimmtheit ist bei einem Unterlassungsantrag für gewöhnlich gegeben, wenn eine Bezugnahme auf die konkrete Verletzungshandlung erfolgt oder die konkret angegriffene Verletzungsform antragsgegenständlich ist und der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Rechtsverstoß und damit das Unterlassungsgebot liegen soll. Demgegenüber sind Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen, grundsätzlich als zu unbestimmt und damit unzulässig anzusehen. Abweichendes kann gelten, wenn entweder bereits der gesetzliche Verbotstatbestand selbst entsprechend eindeutig und konkret gefasst oder der Anwendungsbereich einer Rechtsnorm durch eine gefestigte Auslegung geklärt ist, oder wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert. Gemessen an diesen Anforderungen ist der Klageantrag nicht hinreichend bestimmt. Er lässt sich auch unter Heranziehung des Klagevorbringens nicht in einer Weise auslegen, dass der Kläger ein hinreichend bestimmtes Verbot begehrt. Insbesondere die an Art. 32 Abs. 1 DSGVO und damit an den bloßen Gesetzeswortlaut angelehnte Formulierung der "nach dem Stand der Technik möglichen Sicherheitsmaßnahmen" ist unbestimmt (BGH, GRUR 2024, 1910, Rn. 55 ff. - Scraping). Im Übrigen ist der Unterlassungsantrag aber auch unbegründet, da bereits ein rechtswidriger Erstverstoß gegen die DSGVO zu Lasten des Klägers – wie ausgeführt – nicht festzustellen ist. d) Der Antrag zu Ziffer 5. auf Erstattung vorgerichtlicher Rechtsanwaltskosten ist demgemäß ebenfalls unbegründet, da die geltend gemachten Ansprüche in der Hauptsache nicht bestehen. III. Die Kostenentscheidung beruht auf §§ 97 Abs. 1, 91 a ZPO. Im Hinblick auf den von den Parteien übereinstimmend für erledigt erklärten Auskunftsantrag (Antrag zu Ziffer 4.) waren dem Kläger – dies entspricht dem bisherigen Sach- und Streitstand - die Kosten aufzuerlegen, § 91a Abs. 1 ZPO. Die begehrte Auskunft ist bereits erteilt worden, weshalb Erfüllung gemäß § 362 Abs. 1 BGB eingetreten war. Die Beklagte hat den Kläger bereits vorprozessual in allgemeiner Weise über die verschiedenen Arten der Datenverarbeitung bei ihr informiert und hinsichtlich des Zugangs zu konkreten Daten auf die Möglichkeit verwiesen, diese herunterzuladen (Schreiben vom 06.11.2013 – Anlage B 15). In der Klageerwiderung hat sie sodann ausgeführt, dass der Kläger nicht von dem API-Bug betroffen gewesen sei. Damit sind sämtliche Aspekte, hinsichtlich derer Auskunft begehrt wurde und ein Anspruch bestand, erfüllt gewesen. Die Entscheidung zur vorläufigen Vollstreckbarkeit ergibt sich aus §§ 708 Nr. 10, 713 ZPO. Der Senat sieht von der Zulassung der Revision (§ 543 Abs. 1 Nr. 1, Abs. 2 ZPO) ab. Weder kommt der Rechtsache grundsätzliche Bedeutung zu noch erfordern Belange der Rechtsfortbildung oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Bundesgerichtshofs. Der Streitwert für das Berufungsverfahren wird auf 3.500,00 Euro festgesetzt.