6 O 77/24

1. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten folgende personenbezogene Daten des Klägers mit Hilfe der W. Tools zu erfassen, an die Server der Beklagten weiterzuleiten, die Daten dort zu speichern und anschließend zu verwenden: a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d. h. E-Mail der Klagepartei Telefonnummer der Klagepartei Vorname der Klagepartei Nachname der Klagepartei Geburtsdatum der Klagepartei Geschlecht der Klagepartei Ort der Klagepartei Externe IDs anderer Werbetreibender (von der G. „external_ID” genannt) IP-Adresse des Clients User-Agent des Clients (d. h. gesammelte Browserinformationen) interne Klick-ID der G. interne Browser-ID der G. Abonnement-ID Lead-ID anon_id die Advertising ID des Betriebssystems Android (von der G. „madid“ genannt) sowie folgende personenbezogene Daten der Klagepartei b) auf Webseiten die URLs der Webseiten samt ihrer Unterseiten der Zeitpunkt des Besuchs der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist), die von der Klagepartei auf der Webseite angeklickten Buttons sowie weitere von der O. „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren c) in mobilen Dritt-Apps der Name der App sowie der Zeitpunkt des Besuchs die von der Klagepartei in der App angeklickten Buttons sowie die von der O. „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren. 2. Die Beklagte wird verurteilt, die über die aktuelle Speicherung hinausgehende Verarbeitung i. S. d. Art. 4 Nr. 2 DSGVO sämtlicher oben aufgeführter, seit dem 25.05.2018 bereits von der Beklagten verarbeiteter personenbezogenen Daten des Klägers bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, bis zur Erfüllung des Löschungsanspruchs nach rechtskräftigem Abschluss des Verfahrens zu unterlassen, insbesondere diese nicht an Dritte zu übermitteln. 3. Die Beklagte wird verurteilt, sämtliche unter Ziffer 1.a) des Tenors aufgeführten, seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten des Klägers einen Monat nach rechtskräftigem Abschluss des Verfahrens vollständig zu löschen und dem Kläger die Löschung zu bestätigen sowie sämtliche unter 1. b) sowie c) des Tenors aufgeführten, seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen. 4. Die Beklagte wird verurteilt, an den Kläger 1.000,00 € nebst Zinsen i. H. v. fünf Prozentpunkten über dem Basiszinssatz seit dem 19.01.2024 zu zahlen. 5. Die Beklagte wird verurteilt, den Kläger von vorgerichtlichen Rechtsanwaltskosten i.H.v. 540,50 € freizustellen. 6. Im Übrigen wird die Klage abgewiesen. 7. Die Kosten des Rechtsstreits tragen die Beklagte zu 82% und der Kläger zu 18%. 8. Das Urteil ist vorläufig vollstreckbar, für den Kläger jedoch nur gegen Sicherheitsleistung in Höhe von 11.000,00 €. Dem Kläger wird nachgelassen, die Vollstreckung durch die Beklagte gegen Sicherheitsleistung in Höhe von 110% des aufgrund dieses Urteils vollstreckbaren Betrages abzuwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrages leistet. Tatbestand Der Kläger macht gegen die Beklagte Ansprüche wegen einer behaupteten rechtswidrigen Verarbeitung seiner personenbezogenen Daten geltend. Er unterhält seit dem 11.08.2012 ein Nutzerkonto bei dem sozialen Netzwerk E., dessen Betreiberin die Beklagte ist. Die Beklagte räumt sich nach dem unbestrittenen Vortrag des Klägers in ihrer „Datenschutzrichtlinie“ (aktuelle Fassung vom 07.09.2023) das Recht ein, das Verhalten ihrer Nutzer nicht nur bei Nutzung von deren Produkten zu analysieren, sondern annähernd im gesamten Internet und auf einer Vielzahl von mobilen Apps. Hierfür hat die Beklagte verschiedene sogenannte “W. Tools” entwickelt, die Webseitenbetreibern und App-Entwicklern Werbeeinnahmen verschaffen können und aus diesem Grund von diesen auf ihren Webseiten und in ihren Apps eingebunden werden. Die Business Tools der Beklagten sind auf einer Vielzahl aller Webseiten weltweit und einer großen Zahl beliebter Apps aktiv. Auf diesen Webseiten haben die Business Tools die Aufgabe, den einzelnen Besucher zu identifizieren und dessen Klicks und Texteingaben zu erfassen, um sie an die Beklagte zu senden. Sie laufen im Hintergrund, ohne sich dem Besucher bemerkbar zu machen. Der Besucher ist beim Aufruf sämtlicher von ihm aufgerufenen Webseiten und Apps im Unklaren, ob und welche Daten unmittelbar an die Server der Beklagten weitergeleitet werden. Es folgen serverseitig weitere Verarbeitungsvorgänge, wie die Speicherung, der Abgleich mit den bei der Beklagten hinterlegten Datensätzen zur eindeutigen Zuordnung, ggf. eine Veränderung durch Pseudonymisierung und die weitere Verwendung. Dabei ist jeder Nutzer zu jeder Zeit individuell erkennbar, sobald er sich im Internet bewegt oder eine App benutzt, auch wenn er nicht bei den Netzwerken der Beklagten eingeloggt ist oder deren Apps installiert hat. Diese Erkennung erfolgt durch sogenanntes “Digital Fingerprinting”, durch welches ein Nutzer online nachverfolgbar ist. Zum anderen ist jeder einzelne Klick und jede Texteingabe auf solchen Dritt-Webseiten und -Apps durch die Beklagte nachverfolgbar. Die Beklagte weiß, welche Seiten- und Unterseiten wann besucht wurden, was dort angeklickt, gesucht oder gekauft wurde. Mit Schreiben vom 21.12.2023 (Anlage K3) hat der Kläger wegen dieses Sachverhalts verschiedene Ansprüche gegen die Beklagte geltend gemacht. Mit Schriftsatz vom 04.11.2024 hat der Kläger zudem Auskunftsansprüche geltend gemacht. Der Kläger behauptet, er nutze viele Webseiten und Apps, auf denen die „W. Tools“ vorzufinden sind, regelmäßig, insbesondere auch solche Seiten, die sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO verarbeiten. Er meint, die Beklagte verstoße gegen Bestimmungen der DSGVO. Eine wirksame Einwilligung oder sonstige Rechtfertigungsgründe lägen nicht vor. Diese Business Tools seien auf 30-40% aller Webseiten weltweit und der weit überwiegenden Zahl der 100 meistgenutzten Webseiten in Deutschland aktiv. Wegen der Einzelheiten wird auf die Anlage K2 sowie die Auflistungen gem. den Anlagen zum Schriftsatz vom 04.11.2024 (Bl. 791ff. d.A.) Bezug genommen. Der Kläger behauptet, er habe durchschnittlich sechs Stunden pro Tag im Internet verbracht Diese Zeit habe er zu einem guten Teil genutzt, um Tätigkeiten durchzuführen, die seiner Privat- und Intimsphäre zuzurechnen seien, dies v. a. zu Hause und allein am Rechner bzw. am Mobiltelefon ohne bewusste Einsicht Dritter. Der Kläger beschäftige sich privat durchschnittlich etwa 79 Stunden pro Monat mit sensiblen Themen im Internet. So besuche er regelmäßig einige der in den Anlagen aufgeführten Webseiten. Er vertritt die Auffassung, ihm stünde ein immaterieller Schadensersatz in Höhe von mindestens 1.000,00 € zu. Es sei Ausgleich zu leisten für die tiefgreifende, objektive Verletzung des allg. Persönlichkeitsrechts in seiner Ausprägung der informationellen Selbstbestimmung durch die Spionagetätigkeit der Beklagten an sich. Es seien die objektiven Voraussetzungen eines sehr weitreichenden subjektiven Unmutsgefühls erfüllt. Er habe die Kontrolle darüber, was die Beklagte mit den erhaltenen Daten macht, was sie über den Kläger weiß und mit wem sie dieses Wissen teilt, verloren. Der Kläger beantragt nach teilweiser Klageänderung nunmehr: 1. Es wird festgestellt, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks ”E.” unter dem Benutzernamen „S.“ der Beklagten die Erfassung mit Hilfe der W. Tools, die Weiterleitung an die Server der Beklagten, die dortige Speicherung und anschließende Verwendung von folgenden personenbezogenen Daten nicht gestattet: a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d. h. E-Mail der Klagepartei Telefonnummer der Klagepartei Vorname der Klagepartei Nachname der Klagepartei Geburtsdatum der Klagepartei Geschlecht der Klagepartei Ort der Klagepartei Externe IDs anderer Werbetreibender (von der G. „external_ID” genannt) IP-Adresse des Clients User-Agent des Clients (d. h. gesammelte Browserinformationen) interne Klick-ID der G. interne Browser-ID der G. Abonnement-ID Lead-ID anon_id die Advertising ID des Betriebssystems Android (von der O. Ltd. „madid“ genannt) sowie folgende personenbezogene Daten der Klagepartei b) auf Webseiten die URLs der Webseiten samt ihrer Unterseiten der Zeitpunkt des Besuchs der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist), die von der Klagepartei auf der Webseite angeklickten Buttons sowie weitere von der O. „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren c) in mobilen Dritt-Apps der Name der App sowie der Zeitpunkt des Besuchs die von der Klagepartei in der App angeklickten Buttons sowie die von der O. „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren. 2. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten der Klagepartei gem. dem Antrag zu 1. mit Hilfe der W. Tools zu erfassen, an die Server der Beklagten weiterzuleiten, die Daten dort zu speichern und anschließend zu verwenden. 3. Die Beklagte wird verurteilt, die über die aktuelle Speicherung hinausgehende Verarbeitung i. S. d. Art. 4 Nr. 2 DSGVO sämtlicher unter dem Antrag zu 1 a., b. und c. aufgeführten, seit dem 09.10.2023 bereits von der Beklagten verarbeiteten personenbezogenen Daten bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, bis zur Erfüllung des Löschungsanspruchs nach rechtskräftigem Abschluss des Verfahrens zu unterlassen, insbesondere diese nicht an Dritte zu übermitteln. 4. Die Beklagte wird verpflichtet, sämtliche gem. dem Antrag zu 1 a. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten der Klagepartei einen Monat nach rechtskräftigem Abschluss des Verfahrens vollständig zu löschen und der Klagepartei die Löschung zu bestätigen sowie sämtliche gem. dem Antrag zu 1 b. sowie c. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen. 5. Die Beklagte wird verurteilt, an die Klagepartei eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 1.000,00 Euro beträgt, nebst Zinsen i. H. v. fünf Prozentpunkten über dem Basiszinssatz seit dem 19.01.2024, zu zahlen. 6. Die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten i.H.v. 627,13 Euro freizustellen. Die Beklagte beantragt, die Klage abzuweisen. Sie vertritt die Auffassung, die Klageanträge seien teilweise unzulässig, im Übrigen unbegründet. Sie bestreitet, dass der Kläger tatsächlich Webseiten und Apps Dritter besucht habe, die eines der streitgegenständlichen Business Tools verwenden, seine sensiblen personenbezogenen Daten tatsächlich über die Business Tools an O. übermittelt worden seien und sie die Daten der Klageseite ohne eine gültige Rechtsgrundlage gemäß der DSGVO verarbeitet habe. Die Beklagte ist der Ansicht, ihre Verarbeitung der erhobenen Daten sei rechtmäßig. Die Verantwortung, die Einwilligung zur Übermittlung von Off-Site-Daten einzuholen, liege beim Betreiber der Drittwebsite oder App. Die Beklagte sei weder dafür verantwortlich, insoweit eine Einwilligung einzuholen, noch wäre dies technisch möglich. Soweit der Kläger sich dagegen wende, dass die Off-Site-Daten für personalisierte Werbung genutzt würden, erfolge dies beim Kläger gerade nicht, nachdem er seine Einwilligung nicht erteilt habe. Sofern der Kläger sich gegen andere Verarbeitungszwecke wenden sollte, müsse er benennen, gegen welche Verarbeitungszwecke er sich richte, was er nicht darlege. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der gewechselten Schriftsätze und die zu den Akten gereichten Unterlagen Bezug genommen. Entscheidungsgründe Die Klage ist teilweise unzulässig. Soweit sie zulässig ist, ist die Klage teilweise begründet. I. Die Klage ist mit dem Klageantrag zu 1. unzulässig. Im Übrigen ist die Klage zulässig. 1. Das angerufene Gericht ist nach §§ 23 Nr. 1, 71 Abs. 1 GVG sachlich zuständig. Da der Kläger als Verbraucher handelt, folgt die internationale Zuständigkeit deutscher Gerichte und die örtliche Zuständigkeit des Landgerichts Bielefeld aus Art. 17 Abs. 1 c), Art. 18 Abs. 1 Alt. 2 EuGVVO. Die internationale Zuständigkeit ergibt sich im Übrigen auch aus Art. 79 Abs. 2 Satz 1 DSGVO. 2. Der Klageantrag zu 1. ist mangels Vorliegens eines feststellungsfähigen Rechtsverhältnisses im Sinne von § 256 Abs. 1 ZPO unzulässig. Gegenstand einer Feststellungsklage kann neben der Echtheit einer Urkunde nur das Bestehen oder Nichtbestehen eines Rechtsverhältnisses sein. Ein Rechtsverhältnis in diesem Sinne setzt eine bestimmte, sich aus dem Vortrag des Klägers ergebende Rechtsbeziehung zwischen Personen oder einer Person und einer Sache voraus. Hiernach können zwar auch einzelne, aus einem Rechtsverhältnis sich ergebende Rechte und Pflichten zulässiger Klagegegenstand sein. Die Rechtswidrigkeit eines Verhaltens ist hingegen kein feststellungsfähiges Rechtsverhältnis (BGH, Urteil vom 27.03.2015 - V ZR 296/13, NJW-RR 2015, 915 Rn. 7 mwN; vom 20.04.2018 - V ZR 106/17, NJW 2018, 3442 Rn. 13). Gemessen hieran ist der auf die Feststellung, dass der Nutzungsvertrag der Parteien zur Nutzung des Netwerks „E.“ die Verarbeitung bestimmter, im Einzelnen aufgeführter Daten nicht gestattet, gerichtete Klageantrag Ziffer 1 unzulässig (vgl. LG Stuttgart, Urteil vom 5. Februar 2025 – 27 O 190/23 –, juris). Angesichts dessen kann dahingestellt bleiben, ob das Feststellungsinteresse auch wegen des Vorrangs einer auf Löschung und Unterlassung gerichteten Leistungsklage nicht gegeben wäre. 3. Der Klageantrag zu Ziffer 2 ist zulässig. Insbesondere ist er im Hinblick auf die zu unterlassenden Handlungen („zu erfassen, an die Server der Beklagten weiterzuleiten, die Daten dort zu speichern und anschließend zu verwenden“) hinreichend bestimmt, § 253 Abs. 2 Nr. 2 ZPO. 3. Die Klage ist auch mit den hinreichend bestimmten Leistungsanträgen zu 3. und 4. zulässig. Die Zulässigkeit des auf eine künftige Leistung gerichteten Klageantrags zu 4. folgt aus § 259 ZPO. 5. Auch ist die Klage mit dem Klageantrag zu 5. zulässig. Der Kläger kann die Höhe seines immateriellen Schadensersatzanspruchs in zulässiger Weise ins Ermessen des Gerichts stellen, nachdem er den Mindestbetrag seiner Vorstellung angegeben hat. II. Soweit die Klage zulässig ist, ist sie weitgehend begründet. 1. Die Klage ist mit dem Unterlassungsantrag zu Ziffer 2. begründet. Der Kläger hat einen Anspruch auf die begehrte Unterlassung aus Art. 17 DSGVO i.V.m. Art. 79 DSGVO. a) Aus Art. 17 DSGVO kann sich über den Wortlaut hinaus auch ein Anspruch auf Unterlassung ergeben. Im Hinblick darauf, dass Art. 79 DSGVO wirksame gerichtliche Rechtsbehelfe bei einer Verletzung der DSGVO normiert, kann hieraus auch zugleich ein Unterlassungsanspruch betreffend die Speicherung hergeleitet werden. Aus der Verpflichtung, die Daten zu löschen, ergibt sich zugleich die Verpflichtung, diese Daten künftig nicht wieder zu speichern (vgl. BGH, NJW-RR 2023, 258; BGH, GRUR 2022, 258). b) Die Beklagte ist Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO, da durch die Einbindung der ihrerseits entwickelten W. Tools auf dritten Webseiten und in Apps von ihr oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entschieden wird. Ob die Beklagte Allein- oder nur Mitverantwortliche ist, ist im Hinblick auf Art. 26 DSGVO unerheblich. c) Die Beklagte verarbeitet diese Daten i.S.v. Art. 4 Nr. 2 DSGVO Der Begriff der Datenverarbeitung erfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die Beklagte bestreitet nicht, dass ihre Business Tools personenbezogene Daten von Nutzern auf Drittseiten und -Apps erfassen, an die Server der Beklagten weiterleiten, und sie diese Daten anschließend speichert und weiterverarbeitet. Sie hat lediglich – worauf es vorliegend nicht ankommt - bestritten, dass sie diese Daten zu dem Zweck der Bereitstellung personalisierter Werbung nutzt. d) Der Kläger ist von der Datenverarbeitung der Beklagten betroffen. Das entgegenstehende Bestreiten der Beklagten ist unbeachtlich. aa) Soweit sie behauptet, keine Datenverarbeitung zur Bereitstellung personalisierter Werbung vorzunehmen, ist dies unerheblich. Den maßgeblichen Vortrag des Klägers betreffend die gesamte Datenerhebung und –verarbeitung durch die Beklagte hat sie vielmehr nicht bestritten. Im Übrigen enthält der Vortrag der Beklagten auch kein substantiiertes Gegenvorbringen zu den Tatsachen und technischen Abläufen, wobei ein Bestreiten mit Nichtwissen auch nicht zulässig wäre, § 138 Abs. 4 ZPO. Vielmehr träfe sie insoweit als Urheberin und Verwenderin der Business Tools eine sekundäre Darlegungslast. bb) Der Annahme einer Betroffenheit des Klägers von der Datenverarbeitung steht nicht entgegen, dass der Kläger nicht konkret dargelegt und bewiesen hat, welche genauen Webseiten er besucht hat, auf denen die Business Tools aktiv waren und dass und welche Daten hierbei an die Beklagte übermittelt worden sind. Der Kläger hat substantiiert unter Vorlage entsprechender Aufstellungen (Anlage K 2 sowie Bl. 791ff. d.A.) dargelegt, dass 30 – 40% aller Webseiten weltweit und die ganz überwiegende Zahl der meistbesuchten Webseiten in Deutschland mit diesen Tools arbeiten. Zudem hat er konkret vorgetragen, auf welchen häufig besuchten Webseiten in Deutschland und auf welchen Webseiten mit sensiblen Inhalten die Business Tools (O. Pixel) enthalten sind (Bl. 791ff. d.A.). Dem ist die Beklagte, die naturgemäß positive Kenntnis darüber hat, auf welchen Webseiten und Apps ihre Business Tools aktiv sind, nicht substantiiert entgegengetreten. Ausgehend von einer durchschnittlichen Nutzung des Internets, wie sie der Kläger im Rahmen seiner persönlichen Anhörung bestätigt und wie sie als glaubhaft zugrunde gelegt werden kann, ist der Kläger danach von der Datenerhebung der Beklagten betroffen. Die von dem Kläger vorgelegten Auflistungen aus verschiedenen Bereichen erfassen eine Vielzahl üblicher und bekannter Seiten, mit denen ein Internetnutzer bei einem durchschnittlichen Nutzungsverhalten nahezu zwangsläufig in Berührung kommen muss. Soweit die Beklagte bestreitet, dass Datensätze des Klägers übermittelt und von ihr gespeichert oder sonst verarbeitet worden sind, war dies danach ebenfalls unbeachtlich. Auch insoweit wäre der Beklagten, die lediglich Einblick in ihre Datenbank hätte nehmen müssen, ein substantiiertes qualifiziertes Bestreiten möglich und zumutbar. Im Übrigen traf sie zudem eine sekundäre Darlegungslast, da der Kläger letztlich außerhalb des von ihm darzulegenden Geschehensablaufs steht und keine Kenntnis der maßgebenden Tatsachen besitzt, während die Beklagte sie hat und ihr nähere Angaben zumutbar sind. e) Die danach zugrunde zu legende Verarbeitung der personenbezogenen Daten des Klägers ist unrechtmäßig. Die Beklagte verstößt mit dieser Verarbeitung der personenbezogenen Daten gegen Art. 5 Abs. 1 lit. b) und c). Diese ist nicht gem. Art. 6 DSGVO rechtmäßig. Eine Einwilligung i.S.v. Art. 6 Abs. 1 Abs. 1 a) DSGVO und Art. 9 Abs. 2 a) DSGVO liegt nicht vor. Eine Einwilligung in die Datenerhebung und -verarbeitung über die W. Tools hat die Beklagte nicht dargelegt. Insoweit ist der gesamte Datenverarbeitungsvorgang von Erheben personenbezogener Daten über die Business Tools, Empfangen jener von Geschäftspartnern, Speichern auf eigenen Servern und Verarbeiten zur Profilbildung und Weiterverwendung u.a. durch Weitergabe an Dritte nicht von einer Einwilligung gedeckt. Die Verarbeitung ist auch nicht zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 b) DSGVO. Die Beklagte könnte auch ohne die Tools ihre vertraglichen Verpflichtungen gegenüber dem Kläger erfüllen. Auch ist die Datenverarbeitung nicht nach Art. 6 Abs. 1 f) DSGVO gerechtfertigt. Insoweit ist weder konkret dargelegt noch sonst ersichtlich, warum die auf den Webseiten von Drittunternehmen eingebundenen Business Tools sowie die mittels dieser erfolgter Datenspeicherung und –verarbeitung zum Schutz der Sicherheit und Integrität von Servern der Beklagten bzw. des Systems oder in sonstiger Weise zur Wahrung der berechtigten Interessen der Beklagten oder Dritter zwingend erforderlich sind. f) Die von dem Kläger begehrte Sanktion für jeden Fall der Zuwiderhandlung folgt aus § 890 Abs. 2 ZPO. Dabei ist betreffen die Vollstreckung auf die im nationalen Recht vorgesehenen Zwangsmaßnahmen zurückzugreifen (LG Ellwangen, Urteil vom 06.12.2024 – 2 O 222/24; LG Landau, Urteil vom 26.02.2024 – 2 O 239/23 -). 2. Die Klage ist auch mit dem Klageantrag zu 3. begründet. Der Kläger hat einen Anspruch auf die begehrte Einschränkung der Datenverarbeitung aus Art. 6, 9 DSGVO i.V.m. Art. 18 Abs. 1 b) DSGVO. Die Datenverarbeitung war unrechtmäßig. Dem steht nicht entgegen, dass der Kläger mit dem Klagantrag zu 4. weitergehende Ansprüche geltend macht. Bis zu deren Erfüllung kann er die Einschränkung der Nutzung verlangen (vgl. LG Ellwangen a.a.O.; LG Landau a.a.O.). 3. Der mit dem Klageantrag zu 4. geltend gemachte Anspruch auf künftige Löschung ist aus Art. 17 Abs. 1 d) begründet. Ein Anspruch auf Einschränkung der Verarbeitung in Form der vollständigen Anonymisierung der Daten ergibt sich aus Art. 18 Abs. 1 b) DSGVO. 4. Die Klage ist mit dem Klageantrag zu 5) begründet. a) Der Kläger hat gegen die Beklagte einen Anspruch auf Schadensersatz in zuerkannter Höhe aus Art. 82 Abs. 1 DSGVO. Ein solcher Schadensersatzanspruch erfordert einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß (EuGH, Urteil vom 4. Oktober 2024 – C-507/23 –, juris Rn. 24; BGH, Urteil vom 18. November 2024 – VI ZR 10/24 – BGHZ 242, 180-216 ). Diese Voraussetzungen liegen hier vor. Der Kläger hat durch die rechtswidrige Verarbeitung seiner Daten einen immateriellen Schaden erlitten. aa) Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich. Art. 82 Abs. 1 DSGVO steht weiter einer nationalen Regelung oder Praxis nicht entgegen, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Daten- schutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen. Schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann dabei einen immateriellen Schaden darstellen, ohne dass der Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, BGHZ 242, 180-216). bb) Einen solchen Kontrollverlust hat der Kläger erlitten. Die Beklagte hat – wie dargelegt - personenbezogene Daten des Klägers ohne dessen Einwilligung und ohne dessen Kenntnis erhoben und gespeichert. Ferner liegt die erforderliche haftungsbegründende Kausalität vor. Gerade die Datenerhebung auf den Drittwebseiten bzw. Apps führte zu der dem Kläger unbekannten Datenspeicherung bei der Beklagten und somit zu dem immateriellen Schaden in Form des Kontrollverlusts. Der Kläger hat hierdurch auch einen mit 1.000,00 € zu beziffernden immateriellen Schaden erlitten. Bei der Ermittlung der Höhe des festzustellenden Schadens war nach der Rechtsprechung des Bundesgerichtshofs (a.a.O.) von folgenden Grundsätzen auszugehen: Die Bemessung richtet sich entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung. In Deutschland ist somit insbesondere die Verfahrensvorschrift des § 287 ZPO anzuwenden. Allerdings unterliegt die Ermittlung des Schadens unionsrechtlichen Einschränkungen. Die Modalitäten der Schadensermittlung dürfen bei einem - wie im Streitfall - unter das Unionsrecht fallenden Sachverhalt nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz). Auch dürfen sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz) In Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs, wie sie in ErwG 146 Satz 6 DSGVO zum Ausdruck kommt, ist eine auf Art. 82 DSGVO gestützte Entschädigung in Geld als "vollständig und wirksam" anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DSGVO dagegen nicht erfüllen. Folglich darf weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen. Im Ergebnis soll die Höhe der Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausginge. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen. Dies gilt auch unter Berücksichtigung des Umstandes, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung. Ist nach den Feststellungen des Gerichts allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten – wie hier – gegeben, weil weitere Schäden nicht nachgewiesen sind, hat der Tatrichter bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DSGVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat er die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (z.B. Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich könnte in den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle dienen. Nach diesen Maßstäben ist im vorliegenden Fall, ein Schmerzensgeld in Höhe von 1.000 EUR angemessen. Die Beklagte verarbeitet seit geraumer Zeit personenbezogene Daten in nicht erkennbarem Umfang, wobei unter der Annahme eines durchschnittlichen Internet-Nutzungsverhaltens und der oben begründeten Annahme einer weiten Verbreitung der Business Tools davon auszugehen, dass die Daten einen weiten Bereich der privaten Lebensgestaltung des Klägers umfassen. Über den genauen Umfang lässt die Beklagte den Kläger im Unklaren. Der konkrete Umfang der bei der Beklagten gespeicherten Daten ist trotz der Auskunftsverlangen des Klägers (Schriftsatz vom 04.11.2024) nicht von ihr offenbart. Auch sah sich der Kläger veranlasst, nach seinen glaubhaften Angaben im Rahmen seiner mündlichen Anhörung veranlasst, sein Internet-Nutzungsverhalten in Bezug auf Cookies und VPN-Verbindungen umzustellen. Dagegen hat der Kläger etwaige psychische Beeinträchtigungen oder eine sonstige nachhaltige Störung seines Privatlebens, die sicher auf die Datenschutzverstöße der Beklagten zurückzuführen sind, im Rahmen seiner mündlichen Anhörung nicht mitgeteilt. b) Ein darüber hinausgehender Anspruch aus § 823 Abs. 1 BGB ist nicht gegeben. Denn ein Anspruch wegen einer Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung einer Verletzung des Rechts auf informationelle Selbstbestimmung setzt eine schwerwiegende Verletzung voraus. Ob eine so schwerwiegende Verletzung vorliegt, dass die Zahlung einer Geldentschädigung erforderlich ist, kann nur aufgrund der gesamten Umstände des Einzelfalls beurteilt werden (BGH, Urteil vom 12.03.2024, - VI ZR 1370/20 – juris). Der Kläger hat im Rahmen seiner Anhörung lediglich mitgeteilt, dass ihn das Thema Profiling über seine Person beschäftige. Mangels danach feststellbarer psychischer Beeinträchtigungen oder nachhaltiger Störungen des Privatlebens (vgl. BGH, Urteil vom 05.10.2004 –VI ZR 255/03 – Juris) kam vorliegend eine hierauf gestützte Entschädigung in Geld nicht in Betracht. 5. Der Zinsanspruch folgt aus den §§ 288 Abs. 1, 286 Abs. 1. 6. Der Kläger hat ferner einen Anspruch gegen die Beklagte auf Freistellung von den vorgerichtlichen Rechtsanwaltskosten gegen die Beklagte aus Art. 82 Abs. 1 DSGVO. Bei der Inanspruchnahme anwaltlichen Beistands handelte es sich vorliegend um eine zweckentsprechende Maßnahme der Rechtsverfolgung. Der Anspruch ist der Höhe nach jedoch nur betreffend den berechtigten Teil der mit dem vorprozessualen Aufforderungsschreiben geltend gemachten Ansprüche gerechtfertigt. Im Hinblick darauf, dass dort ein mit dem hier geltend gemachten Feststellungsanspruch (Wert: 1.000,00 €) korrespondierender Anspruch geltend gemacht worden ist, war von einem dem berechtigten Forderungsteil entsprechenden Gegenstandswert von 4.500,00 € auszugehen. Die erstattungsfähigen Rechtsanwaltskosten betragen danach 1540,50 €. III. Die prozessualen Nebenentscheidungen beruhen auf den §§ 92 Abs. 1, 709, 708 Nr. 11, 711 ZPO. IV. Der Streitwert wird auf 5.500 € festgesetzt. Funk