1. Dem datenschutzrechtlich Verantwortlichen obliegt gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrags eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten.
2. Auf einen Exzess kann er sich nicht berufen, wenn er dieser Kontrollpflicht nicht genügt.
3. Der Empfang von Span-Nachrichten ohne weitere Folgen begründet keinen immateriellen Schaden.

1. Die Berufung des Klägers gegen das Urteil des Landgerichtes Dresden vom 4.6.2024 - 3 O 1802/23 wird - zurückgewiesen.

2. Die Kosten des Berufungsverfahrens trägt der Kläger.

3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des zu vollstreckenden Betrages vorläufig vollstreckbar.

4. Die Revision wird zugelassen.

Beschluss:

Der Streitwert wird auf 5.500,00 EUR festgesetzt.

I.

Der Kläger begehrt die Zahlung von Schadensersatz, Auskunft, Unterlassung und die Feststellung der Einstandspflicht für künftige Schäden wegen der behaupteten Verletzung von Datenschutzvorschriften infolge eines Hacking-Angriffs auf Kundendaten der Beklagten.

Die Beklagte betreibt den Online-Musikstreamingdienst „www. .......com“. Auf der Grundlage eines im Jahre 2016 geschlossenen Vertrages und einer am 18.7.2019 geschlossenen Nachtragsvereinbarung hat die Beklagte sich der Firma O...... mit Sitz in Israel als externem Auftragsdatenverarbeiter bedient. Der Vertrag endete zum 1.12.2019. Am 30.11.2019 teilte die Firma O...... per E-Mail der Beklagten mit, ihre Daten würden am Folgetag gelöscht (Anl. B 4). Dass dies auch tatsächlich geschehen sei, bestätigte die Firma O...... erstmalig mit E-Mail vom 22.2.2023 nach dem Bekanntwerden eines Datenhacks der Daten von Kunden der Beklagten (Anl. B 5). Seit dem 06.11.2022 haben unbekannte Hacker im sogenannten Darknet Daten von Nutzern der Beklagten zum Verkauf angeboten. Nach Bekanntwerden verfasste die Beklagte die als Anlage B1a in deutscher Übersetzung zu den Akten gereichte Meldung über eine Verletzung des Schutzes personenbezogener Daten an die CNIL (Commission Nationale Informatique & Libertés), auf deren Inhalt verwiesen wird. Die Beklagte informierte ferner die von dem Vorfall betroffenen Personen nach Bekanntwerden am 11.11.2022 auf der unternehmenseigenen Webseite (Anl. B 8).

Der Kläger registrierte sich bei der Beklagten am 24.2.2016 unter dem Benutzernamen „......“ von seiner E-Mail-Adresse ......@web.de (Anl. B 6). Im Kundenprofil speicherte die Beklagte das Geschlecht des Klägers (männlich), und dessen User-Namen (......), die User-ID (000000000), und dessen Alter (23) (Anl. B 6). Der Kläger ließ mit Schriftsatz seines Prozessbevollmächtigten vom 24.5.2023 (Anl. K 1) Ansprüche wegen dieses Vorfalls mit der Behauptung von Datenschutzverstößen geltend machen und verlangte zudem Auskunft über die bei der Beklagten verarbeiteten, ihn betreffenden, Daten. Darauf antwortete die Beklagte mit E-Mail vom 19.6.2023 (Anlage B 14).

Der Kläger hat unter Berufung auf die Seite „.......io/security-news“ des Hacker-Forums „......“, behauptet, bei dem streitgegenständlichen Vorfall seien folgende seiner Daten erbeutet worden: Geburtsdaten, E-Mail-Adressen, Geschlechter, geografische Standorte, IP-Adressen, Namen (S. 8 Klageschrift).

Er hat Verstöße gegen die nach der DSGVO geforderten technischen und organisatorischen Schutzmaßnahmen behauptet. Die Daten seien bereits im Jahr 2019 bei der Beklagten oder deren Auftragsdatenverarbeiter abhanden gekommen. Bei ausreichendem Schutzniveau bei der Beklagten und einer ausreichenden Überwachung des Dienstleisters hätte der Hackerangriff bei dem Dienstleister der Beklagten vermieden werden können. Es müsse davon ausgegangen werden, dass die Datei mit den Kundendaten der Beklagten in die Hände von Kriminellen gelangt sei, die mit Hilfe dieser Daten weitere Straftaten, wie phishing und Identitätsdiebstahl, planten. Die Beklagte habe es versäumt, die französische Aufsichtsbehörde umfassend und zeitnah über den Vorfall aufzuklären. Auch habe die Beklagte es unterlassen, die betroffenen Kunden zeitnah und umfassend über die Datenpanne aufzuklären. Die Beklagte habe verschwiegen, dass die Kundendaten im Darknet zum Verkauf angeboten worden seien. Die unbefugte Veröffentlichung der personenbezogenen Daten des Klägers habe zu einem konkreten und emotional spürbaren Nachteil geführt. Seit der Kenntnis über das Datenleck mache sich der Kläger Sorgen über den Verbleib, aber auch über einen möglichen Missbrauch seiner Daten. Der Kläger habe die berechtigte Sorge, dass es zu einem Missbrauch der abgegriffenen Daten komme in Gestalt von Identitätsdiebstahl, Passwortklau durch phishing, unzulässige Werbeanrufe und Werbemails. Die abgegriffenen und veröffentlichten Daten stellten für den Kläger ein hohes Risiko und eine erhebliche Unsicherheit dar. Die Folgen seien für den Kläger unabsehbar und die Nachteile erheblich. Zu denken sei an Werbeanrufe und Werbemails, kurzum an ein erhöhtes Spamaufkommen.

Die Beklagte hat dieses Vorbringen bestritten und unter Vorlage ihrer Ermittlungsergebnisse ausgeführt, lediglich der gestohlene Datensatz stamme aus dem Jahr 2019, der Hackingvorfall selbst habe sich erst im Jahre 2022 ereignet.

Das Landgericht hat die Klage durch Urteil vom 4.6.2024 - auf das wegen der Einzelheiten verwiesen wird - abgewiesen.

Mit der Berufung verfolgt der Kläger sein erstinstanzliches Ziel dem Grunde nach uneingeschränkt, allerdings in reduzierter Höhe im Bezug auf den Schadensersatz weiter.

Er rügt die Verletzung materiellen Rechts und eine fehlerhafte Rechtsanwendung. Das Landgericht habe die Reichweite des Schadensersatzanspruchs nach Art. 82 DSGVO ebenso verkannt wie die Voraussetzungen des Auskunfts- und Unterlassungsanspruchs.

Der Kläger beantragt,

1.

Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

2.

Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.

3.

Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, die Klägerseite betreffenden personenbezogenen Daten, welche die Beklagte im Rahmen der Account-Erstellung sowie ihm Rahmen der Nutzung des Musikstreaming-Dienstes ......verarbeitete, selbst und/oder durch Dritte und/oder Auftragsverarbeiter zu verarbeiten, ohne geeignete technische und organisatorische Maßnahmen i.S.v. Art. 32 DSGVO zu ergreifen und/oder ergreifen zu lassen, welche die unbefugte Offenlegung von bzw. den unbefugten Zugang zu personenbezogenen Daten betreffend die Klägerseite verhindern, wie jedoch geschehen mit Datenvorfall 2019.

4.

Die Beklagte wird verurteilt der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten von welchem Empfänger gestohlen wurden und/oder durch welche Empfänger zu welchem Zeitpunkt durch den Datenvorfall aus dem Jahr 2019 erlangt werden konnten.

5.

Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 527,05 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

6.

Die Beklagte trägt die Kosten des Rechtsstreits.

hilfsweise,

die Revision zum Bundesgerichtshof zuzulassen.

Der Kläger beantragt ferner,

das Verfahren gemäß § 148 ZPO analog bis zu der Entscheidung des EuGH über die Vorlagefragen des vorliegenden Verfahrens auszusetzen;

hilfsweise,

1.

das Verfahren gemäß § 148 ZPO analog bis zu der Entscheidung des EuGH in den dort anhängigen Verfahren C-189/22, C-741/21, C-687/21, C-667/21, C-340/21 und C-307/22 auszusetzen.

2.

das Verfahren gemäß § 148 ZPO analog bis zu der Entscheidung des BGH in den Sache VI ZR 7/24 und VI ZR 22/24 auszusetzen.

Die Beklagte beantragt,

die Berufung zurückzuweisen.

Sie verteidigt die erstinstanzliche Entscheidung und stellt die Zulässigkeit der Berufung unter dem Gesichtspunkt der fehlenden Einzelfallbezogenheit in Zweifel.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die gewechselten Schriftsätze nebst Anlagen und die Sitzungsniederschrift vom 1.10.2024 verwiesen.

II.

Die Berufung des Klägers ist zulässig (A), in der Sache aber unbegründet (B).

A

Nach § 520 Abs. 3 Satz 2 Nr. 2 ZPO muss die Berufungsbegründung die Umstände bezeichnen, aus denen sich nach Ansicht des Berufungsklägers die Rechtsverletzung und deren Erheblichkeit für die angefochtene Entscheidung ergeben; nach § 520 Abs. 3 Satz 2 Nr. 3 ZPO muss sie konkrete Anhaltspunkte bezeichnen, die Zweifel an der Richtigkeit oder Vollständigkeit der Tatsachenfeststellung im angefochtenen Urteil begründen und deshalb eine erneute Feststellung gebieten. Dazu gehört eine aus sich heraus verständliche Angabe, welche bestimmten Punkte des angefochtenen Urteils der Berufungskläger bekämpft und welche tatsächlichen oder rechtlichen Gründe er ihnen im Einzelnen entgegensetzt. Besondere formale Anforderungen bestehen zwar nicht; auch ist es für die Zulässigkeit der Berufung ohne Bedeutung, ob die Ausführungen in sich schlüssig oder rechtlich haltbar sind. Die Berufungsbegründung muss aber auf den konkreten Streitfall zugeschnitten sein. Es reicht nicht aus, die Auffassung des Erstgerichts mit formularmäßigen Sätzen oder allgemeinen Redewendungen zu rügen oder lediglich auf das Vorbringen erster Instanz zu verweisen (st. Rspr., vgl. z. B. BGH, Beschluss vom 7. Mai 2020 – IX ZB 62/18, juris Rn. 11; BGH, Beschluss vom 13. Juni 2017 – VIII ZB 7/16, juris Rn. 12; BGH, Beschluss vom 27. Januar 2015 - VI ZB 40/14, juris Rn. 7; BGH, Beschluss vom 30. Januar 2013 – III ZB 49/12, juris Rn. 7). Vor allem muss das Rechtsmittel die tragenden Erwägungen des angefochtenen Urteils angreifen und darlegen, warum diese aus Sicht des Berufungsklägers nicht zutreffen (BGH, Beschluss vom 30. Juli 2020 – III ZB 48/19, juris Rn. 10; BGH, Beschluss vom 10. Dezember 2015 - IX ZB 35/15, juris Rn. 7; OLG Celle, Urteil vom 4. April 2024 – 5 U 77/23 –, juris Rz. 25). Anders als die Beklagte meint, genügt die Berufungsbegründung diesen Anforderungen. Vorliegend hat sich die Klägerseite ausführlich mit den aus ihrer Sicht rechtsfehlerhaften Ausführungen des Landgerichts zu den Voraussetzungen eines Schadensersatzanspruches nach Art. 82 DSGVO auseinandergesetzt.

B.

In der Sache ist die Berufung allerdings unbegründet.

Die Zuständigkeit des Senats für die vorliegende Entscheidung ist gegeben (1.).

Der Klagepartei steht kein Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO zu (Antrag Ziffer 1). Zwar hat die Beklagte selbst gegen ihre aus der DSGVO resultierenden Pflichten zur Überwachung ihres externen Dienstleisters verstoßen (2. a). Ob die Beklagte darüber hinaus gegen ihre eigenen Pflichten zur Einhaltung technischer Sicherheitsstandards gemäß Art. 24, 25, 32 DSGVO verstoßen hat, kann vor diesem Hintergrund offenbleiben (2 b). Der behauptete Verstoß gegen die der Beklagten nach Art. 33; 34 DSGVO obliegenden Informationspflichten hätte vorliegend keine Auswirkungen auf den begehrten Schadensersatz (2 c). Die Beklagte kann sich hinsichtlich ihres eigenen Verstoßes gegen ihre Kontrollpflichten nach Art 28 DSGVO auch nicht gemäß Art. 82 Absatz 3 DSGVO entlasten. (2 d). Aus dem Datenschutzverstoß der Beklagten ist der Klagepartei aber kein kausaler Schaden entstanden, denn einen ihm durch den streitgegenständlichen Datenverlust entstandenen emotionalen Schaden hat der Kläger nicht glaubhaft gemacht (3.). Der geltend gemachte Feststellungsanspruch ist nach der gefestigten Senatsrechtsprechung unzulässig (4.). Gleiches gilt für den begehrten Unterlassungsanspruch (5.). Der Kläger hat gegen die Beklagte auch keinen Auskunftsanspruch (6.). Aus diesem Grunde hat der Kläger auch keinen auf Erstattung vorgerichtlicher Rechtsverfolgungskosten (7).

1.

Die internationale Zuständigkeit deutscher Gerichte ist gemäß Art. 18 Abs. 1 EuGVVO sowie gemäß Art. 79 Abs. 2, Satz 2 DSGVO gegeben, denn die Klagepartei hat ihren gewöhnlichen Aufenthalt in Deutschland. Der sachliche, räumliche und zeitliche Anwendungsbereich der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung ist eröffnet.

2.

Die Beklagte ist der Klagepartei dem Grunde nach gemäß Art. 82 DSGVO zum Schadensersatz verpflichtet.

Der Verantwortliche und Auftragsverarbeiter haftet im Grundsatz nach Art. 82 DSGVO für das Handeln seiner Auftragsverarbeiter und deren Mitarbeiter jedenfalls dann, wenn dem Mitarbeiter erst durch die ihm vom Verantwortlichen oder Auftragsverarbeiter übertragene Tätigkeit die Gelegenheit gegeben wurde, auf die Rechtsgüter der betroffenen Person einzuwirken. Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür (Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 82 EUV 2016/679, Rz. 30a). Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO (vgl. auch Erwägungsgrund 146 S. 6) entgegenstünde. Ein Abschieben der Haftung auf den Auftragsverarbeiter widerspricht auch dem Grundgedanken der Auftragsverarbeitung, wonach der Verantwortliche zwar ohne Weiteres Dritte einschalten darf, aber gegenüber der betroffenen Person verantwortlich bleibt. Der Auftragsverarbeiter ist letztlich – mit einigen formalen und inhaltlichen Anforderungen, die aus der fehlenden arbeitsrechtlichen Weisungsbefugnis und tatsächlichen Kontrollmöglichkeit herrühren – wie ein sonstiger Mitarbeiter zu behandeln (vgl. Bergt, in: Kühling/Buchner, DSGVO, 4. Auflage, 2024, Art. 82 Rn. 55 mwN).

a)

Die Beklagte hat gegen die ihr obliegende Pflicht zur sorgfältigen Überwachung des von ihr beauftragten externen Auftragsdatenverarbeiters verstoßen, Art. 28, 32 DSGVO.

Art 28 Abs. 1 DSGVO regelt unmittelbar nur die Anforderungen an die Auswahl des Auftragsverarbeiters durch den Verantwortlichen. Dieser darf nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, „die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen“ im Einklang mit der DSGVO durchgeführt werden. Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters - im Anschluss an dessen Auswahl - ist in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet [...] nur mit“). Absatz 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. Zugleich enthält er eine Verpflichtung der Vertragsparteien, die Details zu den Prüfrechten auszugestalten und hierdurch eine effektive Kontrolle durch den Verantwortlichen sicherzustellen (Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 28 EUV 2016/679, Rn. 61). De facto ist die Pflicht zur Überwachung daher auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Durch diese vertragliche Ausgestaltung werden aber nicht nur die Pflichten des Auftragsdatenverarbeiters, sondern auch die korrespondierenden Prüfpflichten des Unternehmers konkretisiert. Ob dies auch dann gilt, wenn dem Auftragsdatenverarbeiter Pflichten auferlegt werden, die über das nach der DSGVO gebotenen Schutzniveau hinausgehen, bedarf hier entgegen der Auffassung der Beklagten im Schriftsatz vom 9.9.2024 keiner Entscheidung, weil die durch Ziff. 9 des Nachtrags geregelten Pflichten nicht über diese Mindestanforderungen hinausgehen. Wie die Beklagte im Schriftsatz vom 9.9.2024 insofern zu Recht geltend macht, ist der Auftragsverarbeiter nämlich nach Vertragsende – als Ausfluss der allgemeinen Grundsätze der „Rechtmäßigkeit“, (Art. 5 Abs. 1 lit. (a) DSGVO), der „Datenminimierung“ (Art. 5 Abs. 1 lit. (c) DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 (e) DSGVO) – verpflichtet, alle noch vorhandenen personenbezogenen Daten entweder zu löschen oder zurückzugeben (vgl. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 28 Rn. 22, 23, beck-online mit Verweisen auf Spoerr in BeckOK DatenschutzR DS-GVO Art. 28 Rn. 78). Dies entspricht Art. 9 des Nachtrags.

Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine - vollkommen praxisfremde - Vor-Ort-Kontrolle erforderlich wäre (Schaffland/Wiltfang aaO.). Gesteigerte Anforderungen ergeben sich indes, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen (Plath, a.a.O., Rz. 18). Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9, 10 DSGVO. Ungeachtet der Frage, ob die von dem zwischen der Beklagten und dem Auftragsdatenverarbeiter geschlossenen Vertrag erfassten Daten auch Daten über das Nutzerverhalten und hieraus zu erstellende Profile beinhalteten, betraf die Verarbeitung vorliegend jedenfalls nicht unbedeutende Datenmengen, deren Verlust potentiell vielen Millionen Nutzern Schaden zufügen konnte. Infolgedessen war die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt. Diese durch die DSGVO gesetzlich aufgestellten Anforderungen werden in Ziff. 9 der am 18.7.2019 geschlossenen Zusatzvereinbarung (Anlage B 2a) Datenschutznachtrag ("Nachtrag") als Teil des Dienstleistungsvertrags vom 01. Dezember 2016 wie folgt präzisiert:

„9. BEENDIGUNG DER VERARBEITUNG

9.1

Vorbehaltlich des Abschnitts 9.2, ist der Anbieter verpflichtet, nach Wahl des Unternehmens entweder (a) eine vollständige Kopie aller Personenbezogenen Daten des Unternehmens durch sichere Dateiübertragung in einem Format, das das Unternehmen dem Anbieter in angemessener Weise mitteilt, an das Unternehmen zurückzusenden und anschließend alle anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, innerhalb von einundzwanzig (21) Kalendertagen nach dem Datum der Beendigung der Dienstleistungen, die die Verarbeitung Personenbezogener Daten des Unternehmens beinhalten (das "Beendigungsdatum"), zu löschen und für die Löschung zu sorgen oder (b) die Daten innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum zu löschen und für die Löschung aller anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, zu sorgen.

9.2

Der Anbieter und jeder Unterauftragsverarbeiter dürfen Personenbezogene Daten des Unternehmens nur in dem Umfang und für den Zeitraum aufbewahren, wie es die anwendbaren EU-Gesetze vorschreiben, und immer nur unter der Voraussetzung, dass der Anbieter die Vertraulichkeit aller Personenbezogenen Daten des Unternehmens sicherstellt und gewährleistet, dass diese Personenbezogenen Daten des Unternehmens nur für Zwecke verarbeitet werden, die mit denen vereinbar sind, für die sie gemäß Artikel 5.1 (b) der DSGVO erhoben wurden, und wie es die anwendbaren EU-Gesetze vorschreiben, die ihre Speicherung vorschreiben.

9.3

Der Anbieter muss dem Unternehmen schriftlich bestätigen, dass er und jeder Unterauftragsverarbeiter diesen Abschnitt 9 innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum vollständig eingehalten haben.

In Ergänzung hierzu regelt Ziff. 10.1 des Nachtrags das Recht der Beklagten, von dem Auftragsdatenverarbeiter „alle erforderlichen Informationen“ verlangen zu dürfen, „soweit dies vernünftigerweise erforderlich ist“. Folgerichtig war die Beklagte zum einen verpflichtet, von ihrem Wahlrecht nach Ziff. 9.1. Gebrauch zu machen, d.h. entweder die Rückübertragung oder die Löschung der von dem Auftragsdatenverarbeiter gehosteten Daten innerhalb der dort genannten Fristen zu verlangen. Zum anderen war sie gehalten, die Erfüllung der den Auftragsdatenverarbeiter hiernach treffenden Verpflichtungen zu kontrollieren, also die nach dem Vertrag erforderlichen Bestätigungen einzuholen, bei deren Ausbleiben innerhalb der 21-Tage Frist die Vorlage unverzüglich anzumahnen und ggf. auch eine Vorort-Prüfung nach Art. 10 des Nachtrags vorzunehmen. Nichts davon ist hier geschehen. Dem Vortrag der Beklagten lässt sich bereits nicht entnehmen, dass diese gegenüber dem Auftragsdatenverarbeiter ihr Wahlrecht gem. Ziff. 9.1. des Nachtrags überhaupt ausgeübt hätte, ein entsprechendes Schreiben ist nicht vorgelegt worden.

Insbesondere hat sie aber dadurch gegen ihre Kontrollpflichten aus Art. 28 DSGVO verstoßen, dass sie nicht nach Ablauf der vertraglich geregelten 21-tägigen Frist von ihrer Auftragsverarbeiterin die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung aller bei dieser vorhandenen Datensätze angefordert hat, die eine detaillierte Auflistung der gelöschten Daten enthielt. Die von dem Auftragsdatenverarbeiter unter dem Datum 9.12.2020 versandte Mail genügte dessen vertraglichen Verpflichtungen nicht, schon weil sie nicht dem Schriftformerfordernis in Ziff. 9.3. (“written certification“ in der englischen Originalfassung Anlage B 2b) entsprach (in diesem Sinne auch LG Lübeck, Beschluss vom 8. Mai 2024 – 15 O 224/23 –, Rn. 16, juris). Auch wenn, wozu die Parteien nichts vorgetragen haben, der Nachtrag dem französischen Zivilrecht unterfallen sollte, wäre die elektronische Form der Schriftform nur gleichgestellt, wenn die Identität der Person, die es erstellt hat, eindeutig nachgewiesen und die Integrität der E-Mail gewährleistet wäre (Art. 1366 cc:..“sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité“). Da aus der als Anlage B4 vorgelegten anonymisierten Kopie deren Absender nicht erkenntlich ist, liegen auch diese Voraussetzungen nicht vor. Art. 28 Abs. 9 DSGVO der nur für den „Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4“ gilt, ist auf die Löschungsbestätigung, für die die Parteien ausdrücklich die Schriftform gewählt haben, nicht anwendbar. Schwerer wiegt indes, dass die E-Mail des Auftragsdatenverarbeiters vom 9.12.2020 lediglich die Ankündigung einer bevorstehenden, nicht aber die Bestätigung einer erfolgten Löschung enthielt. Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können. Indem die Bestätigung der tatsächlichen Durchführung einer vertraglich festgelegten Aufgabe eingefordert wird, minimiert der Verantwortliche das Risiko, dass es beim Auftragsverarbeiter bei der bloßen Ankündigung eines Tätigwerdens bleibt und sorgt zugleich dafür, dass der Auftragsverarbeiter in seiner eigenen Sphäre überprüft, ob die vertraglich übernommene Verpflichtung tatsächlich gewissenhaft erfüllt wurde - auch um das eigene Haftungsrisiko zu minimieren.

Die als Anlage B4 vorgelegte Löschungsankündigung des Auftragsdatenverarbeiters erfüllte aber auch unabhängig hiervon nicht die zum Zwecke und zur Sicherstellung der gesetzlichen Pflichten vertraglich festgelegten Anforderungen, weil sie sich lediglich auf „your site and all the data on the site“, d.h. die unmittelbar von der Beklagten zur Verfügung gestellte Website einschließlich der dort befindlichen Daten, nicht jedoch auf die „Löschung aller anderen Kopien der personenbezogenen Daten des Unternehmens, die vom Anbieter ... verarbeitet wurden“.

erstreckte, wie es Ziff. 9.1. vorsieht. Angesichts dessen hätte sich die Beklagte mit dieser weder formal noch inhaltlich hinreichenden Ankündigung nicht zufrieden geben dürfen, sondern auf eine vollständige und rechtzeitige Löschungsbestätigung hinwirken müssen. Wäre diese auf Anforderung nicht unverzüglich vorgelegt worden, hätte sie ggf. eine nach Ziff. 10.1. des Nachtrags vorgesehene Vor-Ort Kontrolle durchführen müssen. Dies ist indes unstreitig nicht geschehen. Eine Nachfrage beim Auftragsdatenverarbeiter ist nach dem eigenen Vorbringen der Beklagten nicht vor dem Jahr 2023 erfolgt. Die als Anlage B5 vorgelegte, als „Declaration of Data Destruction“ bezeichnete E-Mail vom 22.3.2023 liegt aber weit außerhalb eines für diese nach Art. 28 DSGVO erforderliche Kontrolle vertretbaren Prüfzeitraums. Ob sie eine hinreichende Bescheinigung im Sinne von Ziff. 9 Abs. 1 des Nachtrags enthält, kann schon aus diesem Grund dahinstehen. Schließlich kann auch die Kausalität dieser Kontrollpflichtenverletzung für den streitgegenständlichen Hacking-Vorfall nicht verneint werden. Ausgehend vom Regelfall des redlichen Auftragsdatenverarbeiters muss vielmehr angenommen werden, dass die Mitarbeiter der Firma O...... spätestens auf eine Nachfrage der Beklagten reagiert und die bei ihnen noch vorhandenen Daten gelöscht hätten; jedenfalls die Ankündigung einer Vorort-Kontrolle hätte dazu geführt, dass entsprechende Aktivitäten in die Wege geleitet worden wären. Zu einem Abgreifen der Daten, das nach dem Vorbringen der Beklagten erst im Jahr 2022 erfolgt ist, wäre es dann nicht gekommen. Dass der Dienstleister unter dem Eindruck des erfolgten und ihm bekannten Datenlecks und angesichts der zu erwartenden Haftungsansprüche am 22.3.2023 nachträglich eine unrichtige Löschungsbescheinigung erteilt hat, lässt keinen Rückschluss darauf zu, dass er dies auch im Jahr 2020 getan hätte. Anders wäre dies lediglich dann, wenn der Auftragsdatenverarbeiter selbst unredlich gehandelt und die Daten deshalb nicht gelöscht hätte, um sie selbst später weiter zu veräußern oder für eigenen Zwecke zu verarbeiten. Anhaltspunkte für einen solchen Verdacht sind von der hierfür beweisbelasteten Beklagten indes nicht aufgezeigt worden. Nur in einem solchen Fall käme auch ein Auftragverarbeiterexzess gem. Art. 82 Abs. 3 DSGVO in Betracht, der die Verantwortlichkeit der Beklagten entfallen ließe (vgl. zu deren Voraussetzungen i.E. unter 2. d)). Das bloß versehentliche Nichtlöschen der Daten, das noch dazu durch eine unzureichende Kontrolle seitens der Beklagten maßgeblich erleichtert wurde, hält sich jedoch noch im Rahmen des Erwartbaren und erfüllt damit die Voraussetzungen des Art. 82 Abs. 3 DSGVO nicht.

b)

Angesichts des Verstoßes der Beklagten gegen ihre Kontroll- und Überwachungspflichten kommt es nicht darauf an, ob sie ihrer Pflicht zur Einhaltung aller erforderlichen technischen und organisatorischen sowie personellen Sicherheitsstandards im eigenen Hause nachgekommen ist. Gleiches gilt im Ergebnis für die Einhaltung der technischen Sicherheitsstandards im Hause des Auftragsdatenverarbeiters „O......“. Den hierauf abzielenden Behauptungen der Klägerseite war auch deshalb nicht nachzugehen, weil sie ersichtlich „ins Blaue hinein“ erfolgen. Dies gilt insbesondere für die Behauptung, der Hacking-Vorfall habe sich bereits 2019 ereignet. Hierfür ist nach den von der Beklagten vorgelegten Ermittlungsergebnissen, insbesondere den zeitnah erfolgten Meldungen an die CNIL nichts ersichtlich. Angesichts des detaillierten Vortrags der Beklagtenseite zum Zustandekommen ihrer irrtümlichen Erstmeldung, des Verweises auf die Ermittlungsergebnisse und wegen der Tatsache der Erstveröffentlichung der Daten im Jahre 2022, die eine Erbeutung der Daten bereits im Jahre 2019 als äußerst unwahrscheinlich erscheinen lassen, hätte es der Klagepartei nach den Grundsätzen der gestuften Darlegungslast oblegen, diesen Beklagtenvortrag substantiiert zu bestreiten.

Gleiches gilt im Ergebnis für die Behauptung eines Datenschutzverstoßes im direkten Verantwortungsbereich der Beklagten oder bei der Übermittlung der Daten an den Auftragsdatenverarbeiter. Steht - wie hier - ein objektiver Verstoß gegen Datenschutzvorschriften fest bzw ist unstreitig, so obliegt die Beweislast für die Einhaltung der Grundsätze des Art. 32 DSGVO allerdings dem Verantwortlichen (EuGH, Urteil vom Urteil vom 14.12.2023 - C-340/21, Rz. 57). Vorliegend steht ein solcher Verstoß jedoch lediglich im Bereich der Kontrollpflichten fest; Verstöße im eigenen Bereich der Beklagten sind jedoch nicht ersichtlich und angesichts des Umstandes, dass die Daten unstreitig bei dem Auftragsdatenverarbeiter abhanden gekommen sind, auch nicht plausibel. Angesichts des Umstandes, dass die Beklagte umfangreich zu den von ihr ergriffenen Sicherheits- und Überprüfungsmaßnahmen vorgetragen und detailliert und dabei sowohl ihre IT-Infrastruktur, den von ihr benutzten Sicherheitssystemen beim IP-Transit, bei der Kommunikation als solcher, ihre Firewalls, ihre physische Zutrittskontrollen, insbesondere zu den Datenzentren dargelegt hat und auch zur Ausgestaltung ihrer Zugriffsrechte, insbesondere zu den Authentifizierungssystemen, zur Rückverfolgbarkeit, zur Isolierung der Anmeldedaten, zu Warnsystemen, und zur Bot-Analyse vorgetragen (S. 8 - 12 der Klageerwiderung) umfangreichen Sachvortrag gehalten hat, hätte es der Klagepartei nach den Grundsätzen der gestuften Darlegungslast oblegen, ihre Behauptungen zu einem vermeintlichen Datenschutzverstoß zu präzisieren.

c)

Offenbleiben kann ebenfalls, ob die Beklagte ihre Benachrichtigungspflicht aus Art. 34 DSGVO gegenüber der Klagepartei, aus Art. 33 DSGVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DSGVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich (vgl. hierzu auch OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 147 - juris). Die Klagepartei hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Klagepartei darauf beruhenden ungebetenen spam e-mails können nur auf dem Hacking-Vorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein.

Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DSGVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rechtsprechung des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DSGVO voraus (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, Rn 36 - juris; vgl. Moos/Schlefzig in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 82 Rn 22). Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“.

d)

Die Beklagte kann sich nicht nach Art. 82 Absatz 3 DSGVO entlasten.

Der Verantwortliche oder der Auftragsverarbeiter wird nach dem Wortlaut dieser Vorschrift von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. „Nicht verantwortlich“ bedeutet, dass den Verantwortlichen bzw. den Auftragsverarbeiter keinerlei Verschulden an dem Ereignis trifft, das den Schaden auslöste (Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 49; im Ergebnis auch Spindler, DB 2016, 937 ff. (947) Schaffland/Wiltfang, a.a.O, Rz. 28). „In keinerlei Hinsicht“ bedeutet, dass der Verantwortliche bzw. der Auftragsverarbeiter nachweist, er habe alle Sorgfaltspflichten erfüllt und damit ihm nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Becker in Plath, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rdn. 5). Hält er alle erforderlichen technischen und organisatorischen Datensicherungsmaßnahmen ein und kommt es dennoch zu einem unbefugten Datenzugriff, kann ihm dies nicht angelastet werden (Becker in Plath, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rdn. 5; Frenzel in Paal/Pauly, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 15; Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 54; Schaffland/Wiltfang, a.a.O, Rz. 29). Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters erstreckt sich grundsätzlich nicht auf die Fälle, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte (EuGH, Urteil vom 5. Dezember 2023 – C-683/21 –, juris Rz. 85).

Vorliegend hat der Auftragsdatenverarbeiter zwar sowohl gegen allgemeine Regeln der DSGVO als auch gegen seine vertraglichen Pflichten verstoßen. Ungeachtet vertraglicher Verpflichtungen ist der Auftragsverarbeiter bereits nach der DSGVO im Rahmen der Auftragsverarbeitung grundsätzlich nicht berechtigt, die im Auftrag verarbeiteten Daten für eigene Zwecke bzw. für die Zwecke Dritter zu verarbeiten. Darüber hinaus hat der Auftragsverarbeiter die Rückgabe- und Löschpflichten nach Beendigung des Auftrags zu beachten (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Vorliegend ist unstreitig, dass Datensätze der Beklagten bei der Firma O...... zum einen unzulässigerweise von der Produktiv- in eine Testumgebung überführt wurden, deren Sphäre verlassen haben und anschließend im Darknet zum Verkauf angeboten wurden, nachdem Mitarbeiter dieser Firma entgegen ihrer Zusicherung aus dem Jahre 2023 nicht alle Datensätze der Beklagten wie vertraglich vereinbart unverzüglich nach Vertragsende gelöscht hatten, sondern zumindest einer der Datensätze schließlich entweder von Hackern erbeutet, oder von Mitarbeitern unbefugt weitergegeben wurden.

Wie oben ausgeführt, käme die Beklagte allerdings nur dann in den Genuss der Haftungsprivilegierung nach Art. 82 Abs. 3 DSGVO, wenn ihr selbst keinerlei Fahrlässigkeit vorzuwerfen wäre. Dies ist vorliegend angesichts des eigenen Pflichtenverstoßes der Beklagten nicht der Fall. Dem kann auch nicht das fehlende Zugriffsrecht der Beklagten nach Ablauf des Auftragsverarbeitungsverhältnisses entgegen gehalten werden; wie aufgezeigt standen hier nämlich der Beklagten die in Ziff. 9, 10 des Nachtrags geregelten nachwirkenden Kontrollmöglichkeiten offen.

3.

Der Kläger kann aus den angeführten Verstößen der Beklagten gegen die DSGVO keinen Anspruch auf Ersatz immateriellen Schadens herleiten. Der Klagepartei obliegt die Darlegungs- und Beweislast für den bei ihr eingetretenen Schaden sowie den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung der Daten und dem Schaden. Dieser Beweis ist nicht erbracht worden.

Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (so EuGH Urteil vom 04.05.2023 - C - 300/21, Rn 36 - juris). Der europäische Gerichtshof stützt sich auf den 146. Erwägungsgrund, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person (vgl. EuGH, Urteil vom 20. Juni 2024 – C-590/22, Rn 28 - juris; EuGH, Urteil vom 04.05.2023 - C - 300/21, 49, 50 - juris). Allerdings muss der Schaden tatsächlich und sicher entstanden sein (vgl. EuGH, Urteil vom 04.04.2017 - C - 337/15, Rn 91 - juris). Hierbei hat der Europäische Gerichtshof in einem behaupteten Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schaden gesehen (vgl. EuGH, Urteil vom 04.04.2017 - C - 337/15, Rn 95 – juris).

Der Kontrollverlust der Daten und deren Veröffentlichung im Darknet hat im vorliegenden Fall zu keinem immateriellen Schaden im Sinne von Art. 82 DSGVO bei der Klagepartei geführt.

Dabei kann vorliegend offen bleiben, ob der Kläger tatsächlich den behaupteten Datenverlust erlitten hat oder nicht, insbesondere, ob hierfür die Berufung auf die Seite „......“ genügt.

Im Falle einer klageweisen Geltendmachung von Schadensersatzansprüchen nach Art. 82 DS-GVO obliegt es der Klagepartei, die eigene Betroffenheit von einem Datenschutzvorfall mit dem Beweismaß des § 286 ZPO zur vollen Überzeugung des Gerichts nachzuweisen LG Freiburg (Breisgau), Urteil vom 24. Mai 2024 – 8 O 304/23 –, juris). Dabei begegnet die alleinige Berufung auf die Seite „.......com“ deshalb Bedenken, weil dort die Herkunft der Informationen aus Gründen des Quellenschutzes grundsätzlich nicht offenlegt wird, so dass eine Überprüfbarkeit der dort aufgeführten Verstöße nicht möglich ist. Aus diesem Grunde geht der Senat grundsätzlich davon aus, dass der bloße Hinweis auf die Ergebnismitteilung einer Anfrage bei der Internetseite https:/// .......com jedenfalls dann nicht genügt, wenn die Beklagte konkret-individuell bezogen auf die jeweilige Klagepartei darstellt, aufgrund welcher konkreten Umstände sie davon ausgeht, dass die Treffermitteilung der Webseite https:// .......com/ keine verlässliche Grundlage für die Annahme sei, dass diese tatsächlich vom streitgegenständlichen Datenvorfall betroffen ist (Senat, Hinweisbeschluss vom 18.6.2024 - 4 U 156/24; juris; LG Freiburg, a.a.O.).

Ein Schadensersatzanspruch würde aus einem - unterstellten - Abhandenkommen vorliegend allerdings nicht folgen.

Nach der Rechtsprechung des EuGH (EuGH, Urteil vom 20. Juni 2024 – C-590/22 - juris; Urteil vom 14.12.2023 C - 340/21 - juris) kann der Kontrollverlust grundsätzlich einen immateriellen Schaden begründen. Aus dieser beispielhaften Aufzählung im Erwägungsgrund Nr. 85 der „Schäden“, die den betroffenen Personen entstehen können geht hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 14.12.2023 - C - 340/21, Rn 82 - juris). Allerdings muss eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (vgl. EuGH, a.a.O. Rn 84). Wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist aber gleichwohl zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH a.a.O., Rn 85). An dem Erfordernis eines kausalen Schadens hat der Europäische Gerichtshof festgehalten.

Dies deckt sich mit der Funktion des aus Art. 82 Abs. 1 DSGVO folgenden Anspruchs auf Schadensersatz, einen konkreten Schaden auszugleichen (EuGH, Urteil vom 20. Juni 2024 – C-590/22, Rn 24 – juris). Ließe man einen für den Betroffenen folgenlosen Kontrollverlust als immateriellen Schaden zu, müsste die Höhe des Schadensersatzes konsequent Null betragen. Denn für die Bemessung des Ersatzes des immateriellen Schadens kommt es letztlich im Hinblick auf die Ausgleichsfunktion des Art. 82 Abs. 1 DSGVO nur auf die konkreten Auswirkungen für die betroffene Person an, nicht aber bspw. auf Strafzwecke, Schwere des Verschuldens, Schwere des Verstoßes gegen die DSGVO oder die Anzahl der Verstöße gegen die Datenschutzgrundverordnung im Hinblick auf einen Vorgang (vgl. OLG Hamm, Urteil vom 21. Juni 2024 – 7 U 154/23, Rn 48 – juris bezugnehmend auf EuGH, Urteil vom 20. Juni 2024 – C-590/22, Rn 28 ff – juris; EuGH, Urteil vom 11. April 2024 – C-741/21, Rn 64 – juris;).

Dafür sprechen zudem systematische Gründe. So wird in der Auslegung anderer Normen, die einen immateriellen Schaden voraussetzen, dieser als eine negative innere Tatsache des Geschädigten angesehen, z.B. die Trauer über den Verlust eines nahen Angehörigen; hingegen wird der Verlust des nahen Angehörigen als solcher nicht als Schaden anerkannt (EuGH, Urteil vom 10. Dezember 2015 – C-350/14, Rn 27 – juris). Wenn aber schon der Verlust eines Angehörigen an sich zur Begründung eines immateriellen Schadens nicht ausreicht, dann ist dies aus Wertungsgesichtspunkten erst recht nicht beim Verlust der Kontrolle über Daten der Fall (OLG Hamm, Urteil vom 21. Juni 2024 – 7 U 154/23, Rn 49 - juris).

Die betroffene Person muss die Tatsachen, die dazu führen können, dass ein „tatsächlich erlittener immaterieller Schaden“ infolge der Verletzung des Schutzes personenbezogener Daten anerkannt werden kann, genau und nicht nur allgemein darlegen, auch wenn er nicht eine im Voraus festgelegte Schwelle von besonderer Schwere erreicht. Entscheidend ist, dass es sich nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und auch vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person; die Art der betroffenen personenbezogenen Daten und die Bedeutung, die sie im Leben der betroffenen Person haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen, mit der Datenverletzung verbundenen Beeinträchtigung hat (vgl. Schlussanträge des GA Pitruzella vom 27.04.2023 - C 340/21, Rn 83 - juris).

Unter Berücksichtigung der Umstände kann hier die Befürchtung der Klagepartei, dass die Daten missbräuchlich verwendet werden, nicht als begründet angesehen werden. Zu den besonderen Umständen gehört die Art des Datums. Wird die Kontrolle über sensible Daten, wie z.B. Gesundheitsdaten, Daten über die sexuelle Orientierung, Daten über rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, Daten über Bankverbindungen, Vermögenswerte, Einkommen, Beruf oder Berufsgeheimnisse verloren, liegt eine missbräuchliche Verwendung nicht fern (vgl. Art. 9 Abs. 1 DSGVO). Insbesondere bei Daten, die den persönlichen Lebensbereich betreffen, besteht die Gefahr einer Rufschädigung oder Diskriminierung. Ebenso geht der Verlust der Kontrolle von Daten über Vermögenswerte, Bankverbindungen und Berufsgeheimnisse mit dem Risiko eines materiellen Schadens einher.

Bei der hier gehackten E-Mail-Adresse handelt es sich um ein solches Datum, das - seiner Funktion entsprechend – der Kontaktaufnahme dient und durch andere identifizierbare Personen im alltäglichen und geschäftlichen Leben regelmäßig anderen Personen in großem Umfang zugänglich gemacht wird (vgl. OLG Köln Urt. v. 7.12.2023 - I-15 U 33/23, Rn 37 – juris; OLG Hamm, Urteil vom 21. Juni 2024 – 7 U 154/23, Rn 51 – juris). Sie stellt gerade kein besonders sensibles Datum dar, sondern eines aus der Sozialsphäre des Klägers. Mit der daneben erbeuteten IP-Adresse kann im Regelfall ein Hacker nichts anfangen, die User-ID könnte in der Verknüpfung mit dem Namen allenfalls einen Rückschluss darauf zulassen, dass die Klagepartei Nutzer eines Musik-Streaming-Dienstes ist. Welche konkrete Befürchtung die Klagepartei hieran anschließt, hat sie ebensowenig dargelegt wie die negativen Folgen des Bekanntwerdens des Alters oder Geschlechts.

Ein Missbrauch drängt sich unter den gegebenen Umständen nicht auf. Die E-Mail-Adresse - ebenso wie etwa eine Telefonnummer - kann zwar auch missbräuchlich zur Übersendung von spam sms oder betrügerischen Anrufen genutzt werden, jedoch kann ein materieller Schaden erst dann entstehen, wenn bei einer spam -mail der mitgesendete link verwendet wird oder die betroffene Person auf einen Anruf reagiert, dem betrügerischen Anrufer Auskunft gibt oder auf dessen Aufforderung Geld überweist. Der Empfang von spam-Nachrichten o.ä. als solcher - ohne weitere negativen Folgen – stellt für sich genommen keinen immateriellen Schaden dar (vgl. EuGH, Urteil vom 20. Juni 2024 – C-590/22, Rn 34-36 – juris; OLG Hamm, Urteil vom 21. Juni 2024 – 7 U 154/23, Rn 43 - juris). Die Lästigkeit, die mit den ungebetenen Nachrichten oder Anrufen von angeblichen Bankmitarbeitern, von automatischen Ansagen sowie mit der Zusendung von angeblichen Sendungsbenachrichtigungen oder anderen spam-Nachrichten einhergeht, kann aber grundsätzlich schon deshalb nicht als begründete Befürchtung eines Mißbrauches der Daten angesehen werde, weil davon Personen, deren Daten nicht gehackt wurden, in vergleichbarer Weise betroffen sind. Es ist allgemein - und auch den Senatsmitgliedern aus eigener Erfahrung - bekannt, dass Personen, die keine Streaming-Dienste nutzen, ebenfalls viele spam-Nachrichten erhalten. Ein Zusammenhang mit dem streitgegenständlichen Datensatzverlust ist nicht nachweisbar. In den Schriftsätzen ist lediglich allgemein von Sorgen, Unwohlsein und Ängsten um einen befürchteten Identitätsdiebstahl wegen der entwendeten Daten die Rede.

Eine darüber hinaus gehende emotionale Beeinträchtigung der Klagepartei ist zur Überzeugung des Senates nicht eingetreten. Die schriftsätzlich allgemein gehaltene Behauptung der Klagepartei, sie sei in einen Zustand großen Unwohlseins und Sorge über einen möglichen Missbrauch geraten, genügt diesen Darlegungsanforderungen nicht. Die Ausführungen sind schon nicht auf die konkrete Person der Klagepartei bezogen, sondern werden in einer Vielzahl von Klagen gleichlautend wiederholt. Allgemeine Sorgen, Ängste und Unwohlsein sind alltägliche Empfindungen, die keine begründete Befürchtung rechtfertigen. Erforderlich ist vielmehr der konkrete Nachweis eines realen und sicheren emotionalen Schadens (vgl. Schlussanträge des Generalanwaltes Pitruzella vom 27.04.2023 - C -340/21, Rn 82, 83, - juris). Da im Allgemeinen jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu einer negativen Reaktion der betroffenen Person führen kann (vgl. Schlussanträge des Generalanwaltes Campos Sanchez-Bordona von 06.10.2022 - C 300/21, Rn 113 - juris) und ein Schadensersatz, der sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergibt, einem „Schadensersatz ohne Schaden“ recht nahe kommt, der nicht von Art. 82 erfasst ist (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, Rn. 36 ff - juris), reicht demgegenüber allein der potenzielle oder hypothetische Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten nicht aus (vgl. Schlussanträge des Generalanwaltes Collins vom 26.10.2023 - C 182/22, Rn 24 - juris).

Der Kläger hat einen darüber hinausgehenden emotionalen Schaden nicht glaubhaft gemacht.

Das Landgericht hat ihn hierzu angehört und sich nicht davon überzeugen können, dass die von ihm geschilderten Beeinträchtigungen die konkrete Befürchtung eines immateriellen Schadens rechtfertigen. Zur Vermeidung von Wiederholungen nimmt der Senat hierauf Bezug. Diese Beweiswürdigung bietet keinen Anlass, an der Richtigkeit und Vollständigkeit der zugrunde liegenden Feststellungen zu zweifeln und ist daher nach § 529 ZPO auch für das Berufungsverfahren zugrunde zu legen. Eine besondere Belastung hat der Kläger bereits nicht geschildert, sondern lediglich angegeben, dass es einen etwas erhöhten Aufwand für ihn bedeutet habe, die Spam Mails von den regulären Mails zu unterscheiden. Letztendlich habe er es an der etwas unterschiedlichen Aufmachung der Nachrichten erkennen können. Dass er Konsequenzen er aus dem dann ihm von einer Anwaltskanzlei mitgeteilten Datenverlust bei ...... gezogen habe, hat er ebenfalls nicht mitgeteilt. Er hat im Gegenteil ausgeführt, dass er seine Mail-Adresse auch bei seriösen Anbietern hinterlegt habe und sich für „Aufwand und Nutzen“ eines Wechsels der E.Mail-Adresse nicht lohnten. Ebensowenig hat er aus dem Datenverlust resultierende Befürchtungen geäußert. Aus diesen Umständen kann der Senat keine Schlüsse auf ein irgendwie geartetes Unwohlsein des Klägers ziehen, das über dasjenige hinausgeht, das alle sich im Internet bewegenden Privatpersonen erdulden, die mit ungebetenen Nachrichten konfrontiert werden, bei denen im Dunkeln bleibt, woher der Kontaktaufnehmende die für die Spam-Nachrichten erforderlichen Daten erhalten hat.

4.

Der Klagepartei steht kein Anspruch auf Feststellung der Verpflichtung der Beklagten, alle künftigen (materiellen) Schäden zu erstatten, zu. Der Antrag ist bereits unzulässig, weil ihm das Rechtsschutzbedürfnis fehlt, § 256 ZPO.

Grundsätzlich hängt die Zulässigkeit einer Feststellungsklage bei reinen Vermögensschäden von der Wahrscheinlichkeit eines auf die Verletzung zurückzuführenden Schadenseintrittes ab (vgl. BGH, Urteil vom 10.07.2014 - IX ZR 197/12, Rn. 11 - juris). Ausreichend ist, dass nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann (BGH, a.a.O.). Bei der Verletzung eines absoluten Rechtes genügt aber die ausreichende Möglichkeit des Eintrittes eines Schadens (vgl. BGH, Urteil vom 29.06.2021 - VI ZR 52/18, Rn. 30 - juris). Die Möglichkeit materieller Schäden reicht hier für die Annahme eines Feststellungsinteresses mithin aus (so BGH, Urteil vom 29.06.2021 - VI ZR 52/18, Rn. 30 - juris). Ein Feststellungsinteresse ist nur dann zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines derartigen Schadens wenigstens zu rechnen (vgl. BGH, Beschluss vom 09.01.2007 - VI ZR 133/06, Rn. 5 - juris). Dies ist der Fall. Vorliegend ist auch zwei Jahre nach dem Vorfall kein Schaden eingetreten. Die Klagepartei macht zwar geltend, dass gleichwohl in der Zukunft aufgrund der Veröffentlichung ihrer Daten eine erhebliche Belästigung durch betrügerische Spam-Nachrichten und Anrufe möglich sei und dass die Gefahr eines Identitätsdiebstahls bestehe. Diese Auffassung teilt der Senat schon deshalb nicht, weil die Wahrscheinlichkeit eines Schadenseintritts mit zunehmender Distanz zum Hacking-Ereignis abnimmt und sich der Kausalzusammenhang dadurch immer schwerer beweisen lässt. Dies gilt umso mehr, als die Suchergebnisse auf der Seite „.......com“, zumindest indiziell nahelegt, dass der Kläger auch anderweitig schon mehrfach von Hacking-Angriffen betroffen war, ohne dass bislang irgendein kausaler materieller Schaden entstanden ist. Es bestehen auch keine konkreten Anhaltspunkte dafür, dass der Klagepartei eine Gefährdung ihres Vermögens drohen könnte. Deshalb kann nach alledem davon ausgegangen werden, dass mit dem Eintritt eines materiellen Schadens nicht mehr zu rechnen ist (vgl. OLG Bamberg, Urteil vom 11. Juni 2024 – 10 U 58/23 e, Rn 30 – juris; OLG München, Urteil vom 24. April 2024 – 34 U 2306/23 e, Rn 39 -juris; OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn. 215 - juris).

Die Auffassung des OLG Stuttgart (Urteil vom 22.11.2023 – 4 U 20/23 - Rn 233 ff. - juris), das Feststellungsinteresse sei bereits infolge des Kontrollverlusts über die Daten gegeben, teilt der Senat nicht. Dem Vortrag der Klagepartei lassen sich keine Anhaltspunkte dafür entnehmen, dass im Hinblick auf die konkret betroffenen Daten und sein Verhalten noch ein materieller Schaden drohen könnte (vergleiche auch OLG Hamm, Urteil vom 21. Juni 2024 – 7 U 154/23, Rn 64 – juris und Urteil vom 15.08.2023 – 7 U 19/23 – juris, Rn. 214 ff., so auch OLG München, Urteil vom 24. April 2024 – 34 U 2306/23 –, Rn 40 - juris; OLG Köln, Urteil vom 07.12.2023 - 15 U 33/23 - juris).

5.

Die Klagepartei hat keinen Anspruch auf Unterlassung gemäß Ziffer 3. ihres Antrages. Der Antrag ist zu unbestimmt und daher unzulässig.

Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem Unterlassungsantrag regelmäßig der Fall, wenn die konkret angegriffene Verletzungsform antragsgegenständlich ist (vgl. BGH; Urteil vom 09.03.2021 - VI ZR 73/20, Rn 15 - juris). Die Klagepartei hat keinen Anspruch auf Unterlassung gemäß Ziffer 4. ihres Antrages. Der Antrag ist zu unbestimmt und daher unzulässig.

Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem Unterlassungsantrag regelmäßig der Fall, wenn die konkret angegriffene Verletzungsform antragsgegenständlich ist (vgl. BGH; Urteil vom 09.03.2021 - VI ZR 73/20, Rn 15 - juris).

Der Antrag Ziffer 3. hat indes keinen vollstreckungsfähigen Inhalt. Die Begriffe „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen“ sind zu unbestimmt und nicht vollstreckbar. Der Formulierung lässt sich nicht entnehmen, welche konkreten Maßnahmen die Beklagte ergreifen soll (vgl. LG Köln, Urteil vom 24.05.2023, Rn 46 - juris). Sie beschränkt sich nicht auf die Wiedergabe des gesetzlichen Verbotstatbestandes Art. 32 Abs. 1 DSGVO, sondern greift aus den dort genannten, zur Gewährleistung eines angemessenen Schutzniveaus zu berücksichtigenden Umständen (Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen) isoliert den Stand der Technik heraus. Es ist aus dem Antrag bei dieser Fassung nicht hinreichend ersichtlich, welche Maßnahmen konkret gefordert werden. Ohne eine solche Konkretisierung ist für die Beklagte aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde (vgl. LG Lübeck, Urteil vom 25.05.2023 - 15 O 74/22, Rn 59 - juris). Darüber hinaus wäre für das Vollstreckungsgericht - auch und insbesondere angesichts des unbestimmten Standes der Technik - nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Beklagten veranlasst werden müssten (vgl. LG Lübeck a.a.O.). Schließlich steht zwischen den Parteien im Streit, welche Maßnahmen dem Stand der Technik entsprechen. Die auslegungsbedürftige Antragsformulierung lässt sich auch nicht durch Auslegung unter Heranziehung des Vortrags der Klagepartei eindeutig präzisieren. Das Verlangen von "nach dem Stand der Technik möglichen Sicherheitsmaßnahmen" würde somit dazu führen, dass der Streit, welche Maßnahmen nach dem jeweils aktuellen Stand der Technik erforderlich sind und damit auf welche Art und Weise die Datenverarbeitung auf der Plattform der Beklagten abzusichern ist, in unzulässiger Weise in das Vollstreckungsverfahren verlagert wird (OLG Stuttgart, Urteil vom 26. Juni 2024 - 4 U 114/23, Rn 41 - juris).

6.

Der Klagepartei steht kein Anspruch auf Auskunft nach Art. 15 DSGVO zu, denn der Anspruch ist durch das Schreiben der Beklagten erfüllt worden, § 362 BGB.

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Gemäß Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung (vgl. OLG Hamm im Urteil vom 15.08.2023 - 7 U 19/23, Rn 244 ff. - juris). Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (vgl. BGH Urt. v. 15.6.2021 - VI ZR 576/19, - juris).

Die Beklagte hat der Klagepartei die Liste der Empfänger der Daten und einen Auszug der personenbezogenen Daten, die über die Klagepartei gehalten werden, mitgeteilt. Des Weiteren wurde mitgeteilt, dass in den mit „*“ gekennzeichneten Fällen keine zugehörigen Datensätze in den Datenbanken gefunden werden konnten, weil die Partei nie Nutzer gewesen sei oder die Daten nach den Aufbewahrungs- und Löschungsrichtlinien gelöscht worden seien (Anl. B 14) Darüber hinaus hat die Beklagte auf ihrer Webseite ihre Nutzer über den Datenvorfall und über die Art der Daten, die davon betroffen sind (z.B.: Vor- und Nachname und e-mail Adresse) informiert (Anlage B 8). Eine weitere Information der Nutzer über den Cyberangriff bei dem früheren Dienstleister erfolgte am 31.01.2023 (Anlage B 9). Damit ist die Beklagte ihren Pflichten in ausreichendem Umfang nachgekommen.

Soweit die Klagepartei Auskunft darüber verlangt, welche Daten, wann durch welche Personen erlangt wurden, so steht dem Anspruch § 275 Abs. 1 BGB entgegen. Insofern weist die Beklagte unwidersprochen darauf hin, dass ihr die Identitäten der Hacker nicht bekannt ist. Eine Auskunftserteilung ist ihr daher unmöglich.

7.

Mangels Hauptansprüchen steht der Klagepartei auch kein Anspruch auf Erstattung von vorgerichtlichen Rechtsverfolgungskosten zu.

C

1.

Eine Vorlage an den Europäischen Gerichtshof ist nicht veranlasst. Schließlich entscheidet der Senat nicht als letztinstanzliches Gericht und ist zur Vorlage nicht verpflichtet.

2.

Die Entscheidung über die Kosten folgt aus § 91 Abs.1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 ZPO.

3.

Die Revision war gemäß § 543 Abs.2 Nr. 2 ZPO zur Sicherung einer einheitlichen Rechtsprechung zuzulassen. Es sind Tausende von Parallelverfahren in Deutschland anhängig. Soweit die Zulässigkeit der Feststellungsklage betroffen ist, weicht der Senat zudem von der Rechtsprechung des OLG Stuttgart (Urteil vom 22.11.2023 - 4 U 20/23, Rn 238 - juris) ab.

4.

Die Streitwertfestsetzung beruht auf § 3 ZPO. Der Anspruch auf Feststellung und der Antrag auf Auskunft ist mit jeweils 500 EUR zu bemessen. Die Zahlungsanträge haben Werte von 1.000 EUR und 500 EUR. Der Unterlassungsantrag ist mit 3.500 EUR zu bemessen. Zur Begründung wird im Übrigen auf die Beschlüsse des Senates vom 29.7.2024 (4 W 306/24) und vom 31.07.2023 (4 W 396/23 und 4 W 388/23 - beides juris) Bezug genommen.