3 O 480/24

1. Die Klage wird abgewiesen. 2. Der Kläger hat die Kosten des Rechtsstreits zu tragen. 3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar. Beschluss Der Streitwert wird auf 9.500,00 € festgesetzt. I. 1.) Der Klageantrag Ziffer 1. ist zulässig. Der behauptete einheitliche Anspruch auf immateriellen Schadensersatz, der aus mehreren Datenschutzverstößen resultieren soll – gegen die Anforderungen an Datenübermittlungen gemäß Kapitel V DSGVO, Transparenzpflichten nach Art. 5 Abs. 1 a, Art. 13, 14 DSGVO, Pflichten zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 5 Abs. 1 f, Art. 24, 32 DSGVO, zum Datenschutz durch Technikgestaltung nach Art. 25 DSGVO, zur Meldung einer Verletzung des Schutzes personenbezogener Daten nach Art. 33, 34 DSGVO – führt nicht zur Unbestimmtheit des Antrags (vgl. § 253 Abs. 2 Nr. 2 ZPO). Eine Mehrheit von Streitgegenständen kann zwar bei einem einheitlichen Antrag vorliegen, wenn die materiell-rechtliche Regelung die zusammentreffenden Ansprüche erkennbar unterschiedlich ausgestaltet (BGH, Beschluss vom 27.11.2013, III ZB 59/13, juris Rn. 17, 19). Ein solcher Fall liegt hier indes nicht vor, sodass ein einheitlicher Streitgegenstand besteht (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 16-18; OLG Stuttgart, Urteil vom 22.11.2023, 4 U 20/23, juris Rn. 230). Eine getrennte Geltendmachung des Schadensersatzes für eine mangelhafte Auskunft und einen Datenmissbrauch ist nicht erforderlich und darüber hinaus auch nicht sachdienlich (LG Ulm, Urteil vom 31.07.2025, 3 O 551/24, GRUR-RS 2025, 25361). 2.) Die Klageanträge Ziffer 2. lit. a und b mit den geltend gemachten Ansprüchen auf Unterlassung sind nicht hinreichend bestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO und damit unzulässig. a) Die hinreichende Bestimmtheit setzt nach § 253 Abs. 2 Nr. 2 ZPO voraus, dass der Klageantrag den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (BGH, Urteil vom 18.11.2024, VI ZR 10/24 – juris Rn. 52 m.w.N.). Ein Unterlassungsantrag ist hinreichend bestimmt, wenn eine Bezugnahme auf die konkrete Verletzungshandlung erfolgt oder die konkret angegriffene Verletzungsform antragsgegenständlich ist und der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Rechtsverstoß und damit das Unterlassungsgebot liegen soll. Die Verwendung auslegungsbedürftiger Begriffe im Klageantrag ist zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen, oder wenn die Klagepartei den auslegungsbedürftigen Begriff hinreichend konkret umschreibt (BGH, Urteil vom 18.11.2024, VI ZR 10/24, NJW 2025, 298 Rn. 53). Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen, sind grundsätzlich als zu unbestimmt und damit unzulässig anzusehen, soweit nicht das Gesetz selbst eindeutig und konkret gefasst ist, der Anwendungsbereich einer Rechtsnorm durch eine Auslegung geklärt ist, oder die Klagepartei hinreichend deutlich macht, dass sie nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert (LG Ulm, Urteil vom 31.07.2025, 3 O 551/24, GRUR-RS 2025, 25361 m.w.N.). b) Die Forderung des Klägers, es zu unterlassen, personenbezogene Daten des Klägers hilfsweise sämtliche von der Beklagten verarbeiteten Daten, in die USA zu verschicken und diese Dritten, insbesondere Ermittlungsbehörden in den USA, zugänglich zu machen (Klageantrag Ziffer 2. lit. a) zeigt nicht auf, welche konkreten personenbezogene Daten gemäß Art. 4 Nr. 1 DS-GVO und welche Dritten gemeint sind (LG Ulm, Urteil vom 31.07.2025 – 3 O 551/24, GRUR-RS 2025, 25361). aa) Nach Art. 4 Nr. 1 DSGVO bezeichnet „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden: „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Es könnte im Rahmen einer Zwangsvollstreckung nicht überprüft werden, ob die Beklagte ihrer Verpflichtung nachgekommen ist. Die Auflistung der abstrakten Informationsarten spezifiziert nicht ausreichend, auf welche Informationen sich der Kläger bezieht (LG Ulm, Urteil vom 31.07.2025 – 3 O 551/24, GRUR-RS 2025, 25361). bb) Soweit der Kläger beantragt, die Beklagte solle es unterlassen, „Informationen von Drittpartnern“ in die USA zu verschicken (Klageantrag Ziffer 2. lit. a aa), so ist nicht klar, wer die „Drittpartner“ sein sollen und welche Informationen hiervon umfasst sein sollen (LG Ulm, Urteil vom 31.07.2025, 3 O 551/24, GRUR-RS 2025, 25361). cc) Im Klageantrag Ziffer 2. lit. a bb sind die „Dritten“ und deren Örtlichkeit auch durch die beispielhafte Nennung von Ermittlungsbehörden in den USA nicht ausreichend konkretisiert, denn insoweit ist der Sinn und Zweck von Facebook und Instagram als soziale Netzwerke zu berücksichtigen. Nach Art. 4 Nr. 10 DSGVO ist „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten. Wenn alle Daten des Klägers gemäß Klageantrag Ziffer 2. lit. a aa nicht in die USA „verschickt“ werden dürften, wären diese damit automatisch auch Dritten in den USA nicht „zugänglich“ gemacht. Deshalb könnten im Klageantrag Ziffer 2. lit. a bb Dritte auch unabhängig vom Standort in den USA gemeint sein, was aber unter Berücksichtigung des Hinweises, dass die Klageanträge Ziffer 2. lit. a aa und bb unabhängig voneinander gestellt seien, nach dem Sinn und Zweck der sozialen Netzwerke nicht klar und verständlich ist (LG Ulm, Urteil vom 31.07.2025, 3 O 551/24, GRUR-RS 2025, 25361). c) Die Forderung des Klägers unter Klageantrag Ziffer 2. lit. b, es zu unterlassen, personenbezogene Daten der Klagepartei, hilfsweise sämtliche von der Beklagten verarbeiteten Daten, ohne eine Einwilligung der Klagepartei zu verarbeiten (Klageantrag Ziffer 2. lit. b) zeigt ebenso nicht auf, welche konkreten personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO und welche Informationen von welchen „Drittpartnern“ gemeint sind (LG Ulm, Urteil vom 31.07.2025, 3 O 551/24, GRUR-RS 2025, 25361). d) Ein Unterlassungsanspruch darf nicht derart undeutlich gefasst sein, dass die Entscheidung darüber, was der Beklagten verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24, juris m.w.N.). Die Klageanträge Ziffer 2. lit. a und b sind daher in der gestellten Form zu weitgehend (LG Ulm, Urteil vom 31.07.2025, 3 O 551/24, GRUR-RS 2025, 25361). 3.) Hinsichtlich des Klageantrags auf Auskunft unter Ziffer 3. lit. b und c sind diese im Haupt- wie im Hilfsantrag ebenfalls zu unbestimmt, da nicht dargelegt ist, welche Daten mit der Verwendung des Begriffs „personenbezogene Daten“ oder „sämtliche von der Beklagten verarbeiteten Daten“ gemeint sind. Hinsichtlich der Anträge auf Auskunft unter Ziffer 3. lit. b und lit. c ist darüber hinaus nicht klar, welchen über den in Antrag Ziffer 3. lit. b hinausgehenden Gegenstand Ziffer 3. lit. c haben soll (LG Ulm, Urteil vom 31.07.2025, 3 O 551/24, GRUR-RS 2025, 25361). Ein Rechtsschutzbedürfnis bezüglich der nicht bereits zu unbestimmten Hilfsanträge zu 3. lit. a und d ist gegeben. Das allgemeine Rechtsschutzbedürfnis liegt zwar nicht vor, wenn statt der Klage ein einfacherer oder billigerer Weg zur Erreichung des Rechtsschutzziels besteht (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24). Aber auch wenn die Beklagte den Nutzern ein Selbstbedienungstool zur Verfügung stellt, auf das sie in dem Schreiben unter Anlage B16 hingewiesen hatte, kann der Kläger die konkret in den Klageanträgen zu 3. a) und d) verlangten Informationen über dieses Tool nicht vereinfacht erlangen (LG Ulm, Urteil vom 31.07.2025, 3 O 551/24, GRUR-RS 2025, 25361). 4.) Der Feststellungsantrag unter Ziffer 4. ist nach § 256 Abs. 1 ZPO wiederum mangels Bestimmtheit (§ 253 Abs. 2 Nr. 2 ZPO) unzulässig. Es ist nicht aufgeführt, was die „unbefugte Datenverschickung in die USA und die Zugänglichmachung gegenüber Dritten“ konkret beinhalten soll. Es kommt daher nicht mehr darauf an, ob das erforderliche rechtliche Interesse an der alsbaldigen Feststellung eines Rechtsverhältnisses (vgl. dazu BGH, Urteil vom 29.06.2021, VI ZR 52/18, juris Rn. 30; BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 46 ff.) gegeben ist (LG Ulm, Urteil vom 31.07.2025, 3 O 551/24, GRUR-RS 2025, 25361). 5.) Ein richterlicher Hinweis auf die teilweise Unzulässigkeit der Klagen war entbehrlich, da der Klägerseite die zitierte Rechtsprechung im Rahmen des vorliegenden Massenverfahrens erstens bekannt war (vgl. Anlagenkonvolut K18) und zweitens die Klägerseite durch die Beklagtenseite auf die teilweise Unzulässigkeit der Klagen ausdrücklich und mehrfach hingewiesen wurde (vgl. MüKoZPO/Fritsche, 7. Aufl. 2025, ZPO § 139 Rn. 14 ff. m.d.N.). II. Die Klagen sind im Übrigen unbegründet. 1.) Der Kläger hat keinen Anspruch auf immateriellen Schadensersatz in Höhe von mindestens 1.000,00 € nach Art. 82 Abs. 1 DSGVO oder sonstigem Rechtsgrund, z.B. § 823 Abs. 1 BGB i.V.m. Artt. 2 Abs. 1, 1 Abs. 1 GG. a) Die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts begründet einen Anspruch auf eine „Geldentschädigung“ nach § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann (BGH, Urteil vom 12.03.2024, VI ZR 1370/20, NJW 2024, 2836 Rn. 72). Der Kläger hat jedoch im Klageantrag Ziffer 1. ausdrücklich einen immateriellen Schadensersatzanspruch geltend gemacht, der grundsätzlich von der Geldentschädigung zu unterscheiden ist (vgl. BGH, Urteil vom 12.03.2024, VI ZR 1370/20, NJW 2024, 2836 Rn. 72; BGH, Beschluss vom 08.03.2022, VI ZB 14/21 – juris Rn. 10). Im Übrigen finden Schadensersatz- oder Entschädigungsansprüche des nationalen Rechts keine Anwendung, soweit diese auf Verstöße gegen Regeln zur Verarbeitung personenbezogener Daten und anderer Regelungen der DSGVO gestützt sind, weil die Vorschriften der DSGVO eine abschließende, voll harmonisierende europäische Regelung bilden (OLG Stuttgart, Urteil vom 22.11.2023, 4 U 20/23, GRUR-RS 2023, 32883 Rn. 263). b) Ein Anspruch des Klägers auf immateriellen Schadensersatz in Höhe von mindestens 1.000,00 EUR gemäß Art. 82 Abs. 1 DSGVO besteht nicht. aa) Art. 82 Abs. 1 DSGVO setzt einen Verstoß gegen die DSGVO, das Vorliegen eines immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus (EuGH, Urteil vom 04.10.2024, C-507/23, juris Rn. 24; EuGH, Urteil vom 11.04.2024, C-741/21, juris Rn. 34; BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 21 m.w.N.), wobei die Darlegungs- und Beweislast für diese Voraussetzungen den Kläger trifft (vgl. EuGH, Urteil vom 11.04.2024, C-741/21, juris Rn. 35; BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 21 m.w.N.), während das vermutete Verschulden nach Art. 82 Abs. 3 DSGVO vom Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO zu widerlegen ist (vgl. EuGH, Urteil vom 11.04.2024, C-741/21, juris Rn. 44 ff.). bb) Auch wenn es ab der Ungültigkeit des Privacy Shield am 16.07.2020 (Schrems II-Urteil, EuGH vom 16.07.2020, C-311/18) bis zum Inkrafttreten des Datenschutzabkommens EU-US DPF am 11.07.2023 keinen Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO gab, hat die Beklagte die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO eingehalten. (1) Der am 10. Juli 2023 gefasste Beschluss der EU-Kommission nach Art. 45 Abs. 3 DSGVO stellt in den USA ein angemessenes Datenschutzniveau fest und entfaltet unmittelbare Wirkung, sodass Datenübermittlungen in das betreffende Land keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen (OLG Köln, Urteil vom 03.11.2023, I-6 U 58/23, juris Rn. 106; BeckOK DatenschutzR/Juarez, 52. Ed. 01.05.2025, DSGVO Art. 45 Rn. 1–5). (2) Darüber hinaus liegt für die gesamte Zeit ab dem 16.07.2020 kein Datenschutzverstoß der Beklagten wegen Datenübermittlungen in die USA vor, da diese jedenfalls nach Art. 49 Abs. 1 b) DSGVO i.V.m. Art. 6 Abs. 1 b) DSGVO zulässig waren und sind. (a) Falls weder ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO vorliegt, noch geeignete Garantien nach Art. 46 DSGVO, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation unter anderem unter der Bedingung zulässig, dass die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist (Art. 49 Abs. 1 lit. b DSGVO). (b) Nach Art. 6 Abs. 1 b) DSGVO ist die Verarbeitung von personenbezogenen Daten ohne Einwilligung des Betroffenen rechtmäßig, wenn diese für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist. Wenn festgestellt werden kann, dass eine Verarbeitung personenbezogener Daten aus dem in Art. 6 Abs. 1 b DSGVO vorgesehenen Grund erforderlich ist, muss nicht geprüft zu werden, ob diese Verarbeitung auch unter einen anderen Fall des Art. 6 DSGVO fällt (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 94). (c) Damit eine Verarbeitung personenbezogener Daten nach Art. 49 Abs. 1 b) DSGVO bzw. Art. 6 Abs. 1 b) DSGVO als für die Erfüllung eines Vertrags erforderlich im Sinne dieser Bestimmungen angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte (EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 98). Dass eine solche Verarbeitung der personenbezogenen Daten im Vertrag oder in den einseitig vorformulierten Nutzungsbedingungen erwähnt ist, ist für die Annahme der Erforderlichkeit nicht allein ausschlaggebend und es ist auch nicht ausreichend, wenn die Verarbeitung für die Erfüllung des Vertrags lediglich von Nutzen ist (EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 99). Vielmehr muss die Verarbeitung personenbezogener Daten durch den Verantwortlichen für die ordnungsgemäße Erfüllung des zwischen ihm und der betroffenen Person geschlossenen Vertrags wesentlich sein, sodass keine praktikablen, weniger einschneidenden Alternativen bestehen (EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 99). Voraussetzung ist, dass ohne die betreffenden Verarbeitungsvorgänge die zwischen den Vertragsparteien vereinbarten Vertragszwecke nicht erreicht werden können und deshalb diese Verarbeitungsvorgänge für die Erfüllung der Vertragszwecke objektiv unerlässlich sind (Heberlein in Ehmann/Selmayr, 3. Auflage 2024, Art. 6 DSGVO Rn. 25). Die Anforderungen an die Erforderlichkeit dürfen daher gemessen an den konkreten Vertragstypus weder zu niedrig noch zu hoch sein. (d) Die Plattformen Facebook und Instagram stammen wie die Meta Platforms, Inc. aus den USA. Sie sind als sog. Social Media zwangsläufig und ausweislich der Nutzungsbedingungen global konzipiert, denn die Suche nach anderen Nutzern kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. Um das weltweite Netzwerk unterhalten zu können, müssen Daten auch mit den USA ausgetauscht werden. Der Kläger hat keinen Anspruch darauf, dass sämtliche Daten nur in Europa gespeichert und verarbeitet werden (vgl. exemplarisch LG Bochum, Urteil vom 15.05.2024, I-5 O 334/23, juris Rn. 180, 181; LG Hof, Urteil vom 29.01.2025, 12 O 144/24, GRUR-RS 2025, 25350). Insoweit unterscheidet sich der vorliegende Fall auch von dem Fall, der dem von der Klägerseite unter Bl. 15 zitierten Urteil des Oberlandesgerichts Köln vom 03.11.2023, 6 U 58/23 zu Grunde lag. Im dortigen Fall diente die Übermittlung der Daten der Optimierung der Umsätze der Beklagten und der Feststellung von Verbesserungsmöglichkeiten bzw. des Nutzerverhaltens und besonders beliebter Interaktionen auf der Seite, also ihren eigenen wirtschaftlichen Zwecken (OLG Köln, Urteil vom 03.11.2023, 6 U 58/23, juris Rn. 67). Hier geht es jedoch um die Zurverfügungstellung des sozialen Netzwerkes als solchem. Diese ist gerade Gegenstand der vertraglichen Beziehungen der Parteien und die Datenübermittlung dient daher in erster Linie der Erfüllung eines zwischen den Parteien geschlossenen Vertrages im Sinne der Art. 6 Abs. 1 S. 1 lit. b), Art. 49 Abs. 1 S. 1 lit. b) DSGVO. (e) Soweit der Kläger geltend macht, ein zwingendes berechtigtes Interesse der Beklagten nach Art. 49 Abs. 1 UAbs. 1 DSGVO sei durch Art. 49 Abs. 1 UAbs. 2 DSGVO im Falle wiederholter Datenübermittlungen ausgeschlossen, ist die Bereichsausnahme des Art. 49 Abs. 1 UAbs. 2 nur dann einschlägig, wenn keine der Ausnahmen aus dem ersten Unterabsatz des Art. 49 Abs. 1 DSGVO einschlägig ist. Da ein Fall des Art. 49 Abs. 1 UAbs. 1 lit. b DSGVO vorliegend gegeben ist, kommt der Auffangtatbestand des UAbs. 2 nicht zum Tragen. cc) Auch die potentiell mögliche (indirekte) Weitergabe von Daten an US-Geheimdienste oder Ermittlungsbehörden, unter anderem an die NSA, begründet keinen Verstoß gegen die DSGVO. Soweit US-Behörden einschließlich der Geheimdienste von der Konzernmutter der Beklagten nach US-amerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der USA. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre (vgl. exemplarisch LG Passau, Urteil vom 16.02.2024, 1 O 616/23, juris Rn. 102; LG Bochum, Urteil vom 15.05.2024, I-5 O 334/23, juris Rn. 172; LG Hof, Urteil vom 29.01.2025, 12 O 144/24, GRUR-RS 2025, 25350). dd) Im Übrigen hat der beweisbelastete Kläger einen Schaden bzw. Kontrollverlust (vgl. EuGH, Urteil vom 04.10.2024, C-200/23, juris Rn. 145, 156; BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 30–32) nicht bewiesen. (1) Nach Erwägungsgrund 146 Satz 3 der DSGVO ist der Schadensbegriff weit auszulegen. Art. 82 Abs. 2 DSGVO konkretisiert die in Abs. 1 normierte Haftungsgrundlage und nennt drei Voraussetzungen für einen Schadensersatzanspruch: eine Verarbeitung personenbezogener Daten unter Verstoß gegen die DSGVO, das Entstehen eines Schadens bei der betroffenen Person sowie ein ursächlicher Zusammenhang zwischen der rechtswidrigen Verarbeitung und dem Schaden (vgl. EuGH, Urteil. v. 20.06.2024 – C-590/22, juris Rn. 22; EuGH, Urteil. v. 04.05.2023 – C-300/21, juris Rn. 36). Der Europäische Gerichtshof stützt sich insoweit auf Erwägungsgrund 146, wonach unter „Schäden“ solche zu verstehen sind, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar ist nicht erforderlich, dass der Schaden ein bestimmtes Erheblichkeitsschwelle erreicht. Gleichwohl muss ein immaterieller Schaden von der betroffenen Person substantiiert dargelegt und nachgewiesen werden (vgl. EuGH, Urteil vom 04.05.2023 – C-300/21, juris Rn. 49 f.; EuGH, Urteil vom 14.12.2023 – C-456/22, juris Rn. 16 f.). Voraussetzung ist stets, dass der Schaden tatsächlich und sicher entstanden ist (vgl. EuGH, Urteil vom 04.04.2017 – C-337/15, juris Rn. 91). Der Europäische Gerichtshof hat in diesem Zusammenhang etwa ausgeführt, dass der bloße Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schaden darstellt (vgl. EuGH, a.a.O., Rn. 95). Darüber hinaus hat der Europäische Gerichtshof klargestellt, dass ein bloßer Verstoß gegen DSGVO-Vorschriften, die der betroffenen Person Rechte einräumen, allein nicht genügt, um einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO zu begründen – unabhängig von der Schwere eines etwaigen tatsächlichen Schadens (vgl. EuGH, Urteil vom 11.04.2024 – C-741/21, juris Rn. 37; EuGH, Urteil vom 20.06.2024 – C-590/22, juris Rn. 23 f.). Zudem genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten für die Annahme eines Schadens (EuGH, Urteil vom 25.01.2024, C-687/21, juris Rn. 67; BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 32 m.w.N.). (2) Im vorliegenden Fall ist es dem Kläger nicht gelungen, konkrete Auswirkungen der Datenübermittlung in die USA darzulegen. Über die pauschale Behauptung eines erlittenen Kontrollverlusts hinaus fehlt es an substantiiertem und nachvollziehbarem Vortrag. Soweit der Kläger eine missbräuchliche Verwendung seiner Daten durch Kriminelle oder US-Geheimdienste befürchtet, bleibt unklar, in welcher konkreten Weise ein solcher Missbrauch erfolgt sein soll. Im Rahmen seiner informatorischen Anhörung in der mündlichen Verhandlung vom 10.09.2025 (Bl. 1061) hat der Kläger großes schauspielerisches Talent an den Tag gelegt, indem er - wie aus der Pistole geschossen - sich auf Angstzustände, Herzrasen und enorme Schlafstörungen berief, was sich auf seine private wie berufliche Leistungsfähigkeit auswirken würde. (Gegen-)Fragen der Beklagtenseite lies der Kläger über seine Prozessbevollmächtigte beantworten. Insgesamt sind die Schilderungen des Klägers pauschal und oberflächlich und damit wenig glaubhaft und nachvollziehbar geblieben. Das Risiko der Nichterweislichkeit – auch in Bezug auf das konkrete Ausmaß eines etwaigen Schadens – verbleibt beim Kläger (vgl. BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24, juris). Aufgrund des Fehlens eines Schadens kommen auch vertragliche Schadensersatzansprüche oder deliktische Ansprüche nicht in Betracht. 2.) Mangels Verstoß gegen Artt. 49 und 6 DSGVO besteht auch nicht der geltend gemachte Haupt- und Hilfsanspruch auf Unterlassung (Klageantrag zu 2.). Soweit der Kläger unter lit. b des Klageantrags Unterlassung der Verarbeitung ohne Einwilligung begehrt, so besteht hierauf insbesondere kein Anspruch, da eine Verarbeitung nicht rechtswidrig ist, nur weil keine Einwilligung vorliegt, Art. 6 Abs. 1 lit. a und Art. 49 Abs. 1 lit. a DSGVO. Vielmehr genügt das Vorliegen einer der übrigen Ausnahmen nach Art. 6 Abs. 1, Art. 49 Abs. 1 DSGVO für eine Rechtmäßigkeit der Übermittlung sowie der Verarbeitung. 3.) Dem Kläger steht auch kein Haupt- und Hilfsanspruch auf Auskunft nach Art. 15 DSGVO zu. a) Ein Verstoß besteht nach Artt. 49 und 6 DSGVO nicht. Soweit Auskunft darüber begehrt wird, ob und in welchem Umfang die Beklagte Daten gegenüber US-Geheimdiensten offengelegt hat, ist dies im Übrigen nach Art. 23 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG ausgeschlossen (vgl. LG Passau, Urteil vom 16.02.2024, 1 O 616/23, juris Rn. 107; LG Bochum, Urteil vom 15.05.2024, I-5 O 334/23, juris Rn. 189; LG Hof, Urteil vom 29.01.2025, 12 O 144/24, a.a.O.). Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht, sondern muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Grundsatzes der Verhältnismäßigkeit gegen andere Grundrechte abgewogen werden. Insbesondere ist es unter Umständen nicht möglich, Informationen über konkrete Empfänger zu erteilen, wodurch das Auskunftsrecht beschränkt werden kann (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24, juris). Hinsichtlich etwaiger an US-Geheimdienste oder Strafverfolgungsbehörden übermittelter Daten ist bereits fraglich, ob eine etwaige Übermittlung hier durch die Beklagte oder durch die Meta Platforms, Inc. als Konzernmutter, sodass sich ein entsprechender Anspruch gegen diese richten müsste. Dies kann jedoch vorliegend offenbleiben, da es auch der Konzernmutter der Beklagten nach US-amerikanischem Recht nicht gestattet ist, Informationen über Anfragen nach Section 702 FISA Dritten gegenüber offen zu halten. Es gilt zum einen eine Geheimhaltungspflicht nach US-Amerikanischem Recht; zum anderen handelt es sich um ihrem Wesen nach geheimhaltungsbedürftige Informationen, Art. 23 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG. Die Information, ob und welche Auskünfte an Geheimdienste erteilt werden, ist ihrem Wesen nach selbst geheimhaltungsbedürftig (jeweils a.a.O.: LG Passau, Urteil vom 16.02.2024, Az. 1 O 616/23, LG Bochum, Urteil vom 15.05.2024, Az. 5 O 334/23 und LG Hof, Urteil vom 29.01.2025, 12 O 144/24). b) Auch sind die außergerichtlichen Informationen der Beklagten zu berücksichtigen. Die Beklagte hat mit dem Schreiben gemäß Anlage B16 Auskunft erteilt, soweit sie es konnte und durfte. Ein Auskunftsanspruch wäre damit, soweit Auskunft erteilt wurde, nach § 362 Abs. 1 BGB erfüllt. Entgegen der Auffassung des Klägers genügt den an die Auskunftserteilung zu stellenden formellen Anforderungen auch der Verweis auf den Zugriff eines elektronischen Auskunftssystems des Datenverantwortlichen (OLG Dresden, Urteil vom 05.12.2023, 4 U 1094/23, juris Rn. 65). Die Auskunftserteilung mittels Fernzugriffs auf ein elektronisches Auskunftssystem des Datenverantwortlichen genügt den an die Auskunftserteilung zu stellenden formellen Anforderungen (vgl. OLG Dresden, a.a.O., Rn. 53). 4.) Der Feststellungsantrag ist nicht nur unzulässig, sondern darüber hinaus mangels Verstoßes gegen Artt. 49 und 6 DSGVO bzw. Nachweises des unberechtigten Datenabgriffs Dritter nach Inkrafttreten der DSGVO unbegründet. 5.) Die Nebenforderungen (Verzinsung, vorgerichtliche Rechtsanwaltskosten) teilen das Schicksal der Hauptforderung. III. Die prozessualen Nebenentscheidungen folgen aus §§ 91, 709 ZPO. Die Parteien streiten über Ansprüche auf Schadensersatz, Unterlassung, Feststellung, Auskunft und Erstattung von Rechtsanwaltskosten wegen der Übermittlung personenbezogener Daten des Klägers in die Vereinigten Staaten von Amerika (im Folgenden: „USA“) sowie die vorgebliche Zugänglichmachung solcher Daten gegenüber Dritten, insbesondere den dortigen Ermittlungsbehörden. Die Beklagte ist eine Gesellschaft mit Sitz in Irland. Meta Platforms, Inc. ist ihre Konzernmuttergesellschaft mit Sitz in den USA. Die Beklagte bietet eine Reihe von Online-Diensten in der Region Europa an, darunter Facebook und Instagram. Die Konzernmuttergesellschaft bietet solche Dienste auch im Rest der Welt an. Der Kläger hat einen Facebook- und einen Instagram-Account. Nutzerdaten europäischer Nutzer und damit auch des Klägers werden in die USA übermittelt. Nach US-amerikanischem Recht ist es Anbietern von elektronischen Kommunikationsdiensten, die FISA-Anträge nach Section 702 erhalten haben, untersagt, Informationen über diese Anträge an Dritte weiterzugeben. Mit anwaltlichem Schreiben vom 24.01.2024 (Anlage B15) forderte der Kläger die Beklagte zur Auskunft nach Art. 15 DSGVO, zur Abgabe von Erklärungen sowie zur Zahlung vorgerichtlicher Rechtsanwaltskosten bis 08.02.2024 auf. Das vorgenannte Schreiben beantwortete die Beklagte mit anwaltlichen Schreiben vom 18.04.2024 (Anlage B16). Die Klageschrift wurde der Beklagten am 27.01.2025 zugestellt. Der Kläger behauptet, dass er einen Kontrollverlust über seine Daten erlitten habe. Er verbleibe in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch seiner Daten (Einzelheiten zu seinen Sorgen und Ängsten siehe Bl. 11 ff. und Bl. 1062). Er habe auch die Besorgnis, dass ihm infolge der Datenweitergabe in die USA und an Dritte materielle Schäden drohen. Der Kläger ist der Ansicht, dass die Beklagte mehrere Verstöße gegen die DSGVO begangen hätte, insbesondere sei die Datenübertragung seitens der Beklagten in die USA im Zeitraum 16.07.2020 bis zum 11.07.2023 nicht durch einen Erlaubnistatbestand der DSGVO gedeckt gewesen (Einzelheiten siehe Bl. 15). Allein aufgrund seiner Befürchtung, dass seine personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, würde einen immateriellen Schaden darstellen, der ein Schmerzensgeld in Höhe von 1.000,00 EUR rechtfertige. Der Kläger beantragt, 1. Die Beklagte wird verurteilt, an die Klagepartei immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das Ermessen des Gerichts gestellt wird, mindestens jedoch 1000 €, nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. 2. Die Beklagte wird verurteilt, es zu unterlassen, a) personenbezogene Daten der Klagepartei, hilfsweise sämtliche von der Beklagten verarbeiteten Daten der Klagepartei, die von oder über Personen generiert, geteilt und hochgeladen werden, die die Produkte und Dienste des Datenexporteurs (einschließlich Facebook) besuchen, darauf zugreifen, sie nutzen oder anderweitig mit ihnen interagieren; Informationen im Zusammenhang mit den Handlungen der Nutzer und den Informationen, die die Nutzer bei der Nutzung der Dienste bereitstellen; Informationen im Zusammenhang mit den Daten, die von anderen Nutzern der Produkte und Dienste zur Verfügung gestellt werden; Informationen über Netzwerke und Verbindungen von Nutzern; Informationen über Zahlungen; Informationen über Geräte, auf denen Nutzer Software installieren, die vom Datenexporteur bereitgestellt wird, oder die auf Produkte und Dienste des Datenexporteurs zugreifen; Informationen von Websites und Apps, die Produkte und Dienste des Datenexporteurs nutzen, die einen "Gefällt mir"- oder "Kommentar"-Button oder andere Dienstintegrationen verwenden; und Informationen von Drittpartnern, und Informationen hinsichtlich der Dienste der Beklagten, Facebook sowie die Messenger Dienste von Facebook, aa) in die USA zu verschicken und bb) diese Dritten, insbesondere Ermittlungsbehörden in den USA, zugänglich zu machen. b) personenbezogene Daten der Klagepartei, hilfsweise sämtliche von der Beklagten verarbeiteten Daten der Klagepartei, die von oder über Personen generiert, geteilt und hochgeladen werden, die die Produkte und Dienste des Datenexporteurs besuchen, darauf zugreifen, sie nutzen oder anderweitig mit ihnen interagieren; Informationen im Zusammenhang mit den Handlungen der Nutzer und den Informationen, die die Nutzer bei der Nutzung der Dienste bereitstellen; Informationen im Zusammenhang mit den Daten, die von anderen Nutzern der Produkte und Dienste zur Verfügung gestellt werden; Informationen über Netzwerke und Verbindungen von Nutzern, wie Verbindungen eines Nutzers zu Gruppen, Seiten und anderen Nutzern; Informationen über Zahlungen; Informationen über Geräte, auf denen Nutzer Software installieren, die vom Datenexporteur bereitgestellt wird, oder die auf Produkte und Dienste des Datenexporteurs zugreifen; Informationen von Websites und Apps, die Produkte und Dienste des Datenexporteurs nutzen, die einen "Gefällt mir"- oder "Kommentar"-Button oder andere Dienstintegrationen verwenden; und Informationen von Drittpartnern, und Informationen hinsichtlich der Dienste der Beklagten, Facebook sowie die Messenger Dienste von Facebook, ohne eine Einwilligung der Klagepartei zu verarbeiten. 3. Die Beklagte wird verurteilt, a) der Klagepartei Auskunft zu erteilen darüber, welche der die Klagepartei betreffenden personenbezogenen Daten, betreffend die Dienste der Beklagten, Facebook sowie die Messenger Dienste von Facebook, hilfsweise sämtliche von der Beklagten verarbeiteten Daten der Klagepartei, durch die Beklagte in der Zeit vom 16.7.2020 bis zum 10.7.2023 in die USA versendet wurden oder zugänglich gemacht wurden. b) der Klagepartei Auskunft zu erteilen darüber, welche der personenbezogenen Daten betreffend die Dienste der Beklagten, Facebook sowie die Messenger Dienste von Facebook, hilfsweise sämtliche von der Beklagten verarbeiteten Daten der Klagepartei, durch die Beklagte Dritten zugänglich gemacht wurden oder solchen Dritten übersendet / übermittelt wurden. c) der Klagepartei Auskunft zu erteilen darüber, welche Dritte gegebenenfalls Zugang zu den personenbezogenen Daten betreffend die Dienste der Beklagten, Facebook sowie die Messenger Dienste von Facebook, hilfsweise sämtlichen von der Beklagten verarbeiteten Daten der, hatten oder diese von der Beklagten erhalten haben. d) der Klagepartei Auskunft zu erteilen, wie lange solche personenbezogenen Daten betreffend die Dienste der Beklagten, Facebook sowie die Messenger Dienste von Facebook, hilfsweise sämtliche von der Beklagten verarbeiteten Daten der Klagepartei, in den USA gespeichert bleiben, wo diese gespeichert sind und ob eine Löschung der Daten in den USA vorgesehen ist. 4. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle zukünftigen Schäden zu ersetzen, die der Klägerseite durch die unbefugte Datenverschickung in die USA und die Zugänglichmachung gegenüber Dritten, insbesondere Ermittlungsbehörden in den USA, seitens der Beklagten entstanden sind und/oder noch entstehen. 5. Die Beklagte wird verurteilt, an die Klagepartei einen Betrag in Höhe von 973.66 € (Rechtsanwaltskosten außergerichtlich) zu zahlen, nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz für die außergerichtliche anwaltliche Rechtsverfolgung. Die Beklagte beantragt, Klageabweisung. Die Beklagte behauptet, dass der Kläger keinerlei kausale Schäden erlitten hätte (Einzelheiten siehe Bl. 69 ff.). Sie habe umfassende technische Sicherheitsvorkehrungen und organisatorische Maßnahmen ergriffen, um zu gewährleisten, dass Unbefugte, einschließlich Regierungen, keinen Zugriff auf EU-Nutzerdaten hätten (Bl. 68). Die Beklagte ist der Ansicht, dass die Klageanträge Ziffern 1.) bis 3.) mangels Bestimmtheit (Bl. 63 f., 83 f. bzw. 90), der Klageantrag Ziffer 4.) mangels Feststellungsinteresses (Bl. 99 f.) unzulässig seien. Sämtliche geltend gemachten Ansprüche seien darüber hinaus bereits mangels Datenschutzverstoßes unbegründet. Sie habe sich jederzeit auf eine gültige Rechtsgrundlage für die Datenübermittlungen stützen können (Auflistung siehe Bl. 56 ff.). Der Kläger habe das Schrems II-Urteil und den IDPC-Beschluss missverstanden (Einzelheiten siehe Bl. 65). Ein Schaden müsse wirklich entstanden und nicht nur zu befürchten sein, insbesondere reiche kein bloßer Kontrollverlust (Einzelheiten siehe Bl. 69 ff.). Die Schmerzensgeldvorstellungen des Klägers seien überhöht, da Art. 82 DSGVO keine „abschreckende Präventionsfunktion“ oder „sanktionierende Wirkung“ habe (Bl. 76). Schadensersatzansprüche in Bezug auf vor Ende des Jahres 2021 erfolgte Datenübermittlungen sowie Unterlassungsansprüche seien im Übrigen verjährt (Bl. 83 und 87). Die DSGVO gewähre keinen präventiven Unterlassungsanspruch (Bl. 85). Den Auskunftsanspruch des Klägers habe sie mit Schreiben gemäß Anlage B16 erfüllt. Letztlich verhalte sich der Kläger widersprüchlich, wenn er einerseits die von der Beklagten erbrachten Leistungen nutzt, anderseits aber die Datenübermittlung in die USA verhindern will (Bl. 87). Hinsichtlich des weiteren Vorbringens der Parteien wird auf die zwischen ihnen gewechselten Schriftsätze nebst jeweils dazugehöriger Anlagen verwiesen. Im Übrigen wird auf die Sitzungsniederschrift vom 10.09.2025 (Bl. 1061) Bezug genommen.