10 O 280/19

Der Verfügungsbeklagten wird es bei Meidung eines Ordnungsgelds von bis zu 50.000,00 €, ersatzweise Ordnungshaft, zu vollziehen an den Mitgliedern des Verwaltungsrates, bis zum rechtskräftigen Abschluss des Hauptsacheverfahrens untersagt, personenbezogene Daten der Verfügungsklägerin zu verarbeiten, ohne risikoadäquate Sicherheitsmaßnahmen im Sinne der Art. 25, 28, 32 DSGVO, konkretisiert durch die Vorgaben des Sicherheitsstandards Payment Card Industry (PCI) Version 3.2.1, zum Schutz der Daten gegen ihre nicht durch einen gesetzlichen oder vertraglichen Erlaubnistatbestand gedeckte Veröffentlichung zu ergreifen, wie geschehen bei der Verarbeitung von zur Durchführung des Bonusprogramms „E. F.“ eingesetzten Vertragsdaten der Verfügungsklägerin anlässlich derer Teilnahme an dem Bonusprogramm der Unterlassungsschuldnerin im Jahr 2019. Die Kosten des Rechtsstreits werden der Verfügungsklägerin zu 10 % und der Verfügungsbeklagten zu 90 % auferlegt. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar. Tatbestand Die Verfügungsklägerin begehrt von der Verfügungsbeklagten, einem Kreditkartenunternehmen, im Wege einer einstweiligen Anordnung die Unterlassung der Verarbeitung ihrer personenbezogenen Daten ohne ausreichende Vorkehrungen („risikoadäquate Maßnehmen“) gegen Datenverlust und Datenmissbrauch. Bei der Verfügungsbeklagten handelt es sich um eine in T., ansässige europäische Tochtergesellschaft der X., einem Finanzkonzern, der u.a. Karten zur bargeldlosen Zahlung im weltweiten Handel anbietet. Sie unterhält eine Repräsentanz in S.. Die Verfügungsklägerin verfügt über eine Kreditkarte der Verfügungsbeklagten mit einem Verfügungsrahmen von 10.000,00 €. Darüber hinaus ist die Verfügungsklägerin Teilnehmerin eines von der Verfügungsbeklagten initiierten Bonusprogramms („E. F.“). Voraussetzung hierfür war die Registrierung auf einer von einem externen Auftragsverarbeiter im Sinne von Art. 28 DSGVO betriebenen und gehosteten Website ( „Zitat wurde entfernt“ ) unter Eingabe bestimmter Daten. Pro Bezahlvorgang erhielten die Teilnehmer am Bonusprogramm sog. „Coins“, die sodann über Gutscheincodes bei teilnehmenden Händlern eingelöst werden konnten. Im Juli 2019 erhielte die Verfügungsbeklagte Kenntnis davon, dass aufgrund eines Datenlecks im Internet, insbesondere auf der Seite „ „Zitat wurde entfernt“ “, personenbezogene Daten auf Kundenlisten zum freien Download zur Verfügung standen, hierunter auch Daten der Verfügungsklägerin. Insgesamt enthielt die Kundenliste knapp 90.000 Datensätze. Nach Kenntniserlangung des Datenverlustes stellte die Verfügungsbeklagte bzw. in ihrem Auftrag die Betreiberin die Website des Bonusprogrammes „offline“. Jedenfalls zum Zeitpunkt der mündlichen Verhandlung war die Seite nicht mehr frei aufrufbar. Die Verfügungsklägerin ist der Auffassung, dass sich aus dem Umstand der unbefugten Veröffentlichung der vorgenannten Datensätze, darunter ihre eigenen personenbezogenen Daten, ein Verstoß gegen die Vorschriften der DSGVO sowie eine Verletzung ihres allgemeinen Persönlichkeitsrechts aus Art. 2 GG durch die Verfügungsbeklagte ergebe. Insoweit behauptet sie, die Verfügungsbeklagte habe auf vielfache Weise gegen die Bestimmungen der DSGVO verstoßen im Rahmen der Datenverarbeitung bezüglich des vorgenannten Bonusprogramms. Sie selbst sei von der Verfügungsbeklagten über den Vorfall nicht unterrichtet worden. Ferner habe die Verfügungsbeklagte gegen die Vorschriften der DSGVO zur Datenminimierung, zur Speicherbegrenzung sowie zur Sicherstellung der Vertraulichkeit der Daten verstoßen. Insbesondere habe sie keine hinreichenden Maßnahmen zur Datensicherheit vorgenommen. Die Verfügungsbeklagte habe auch nicht hinreichend dargetan, dass die „Datenpanne“ nicht bei ihr, sondern lediglich bei der Betreiberin des Bonusprogramms (im Weiteren: Auftragsverarbeiter) aufgetreten sei. Jedenfalls habe die Verfügungsbeklagte auch weder eine hinreichende Vereinbarung mit dem Auftragsverarbeiter geschlossen, um ihn gemäß Art. 28 DSGVO zur Einhaltung der Vorgaben der DSGVO zu verpflichten, noch ihn insoweit hinreichend überwacht. Insgesamt obliege der Verfügungsbeklagten zudem, so meint die Verfügungsklägerin weiter, die Darlegungs- und Beweislast dafür, im Rahmen der hier in Rede stehenden Datenverarbeitung die Vorschriften der DSGVO hinreichend eingehalten zu haben. Dem sei sie nicht nachgekommen, so dass ein Verstoß zu ihren Lasten vermutet werde, etwa nach Art. 82 Abs. 3 DSGVO. Die Verfügungsklägerin beantragt, es der Antragsgegnerin bei Meidung eines Ordnungsgelds von bis zu 250.000,00 €, ersatzweise Ordnungshaft zu vollziehen an den Mitgliedern des Verwaltungsrates, oder Ordnungshaft von bis zu sechs Monaten zu vollziehen an den Mitgliedern des Verwaltungsrates, zu untersagen, personenbezogene Daten der Antragstellerin zu verarbeiten, ohne risikoadäquate Maßnahmen zum Schutz der Daten gegen ihre nicht durch einen gesetzlichen oder vertraglichen Erlaubnistatbestand gedeckte Veröffentlichung zu ergreifen, wie geschehen bei der Verarbeitung von zur Durchführung des Bonusprogramms „E. F.“ eingesetzten Vertragsdaten der Antragstellerin anlässlich derer Teilnahme an dem Bonusprogramm der Unterlassungsschuldnerin im Jahr 2019. Die Verfügungsbeklagte beantragt, den Antrag zurückzuweisen. Sie ist der Auffassung, der Antrag sei bereits zu unbestimmt und daher unzulässig. Ferner fehle es der Verfügungsklägerin an einem hinreichenden Rechtsschutzbedürfnis, da sie von ihrem Recht auf Löschung nach Art. 17 DSGVO Gebrauch machen könne. Darüber hinaus stünde der Verfügungsklägerin ein Unterlassungsanspruch bereits aus Rechtsgründen nicht zu. Die Regelungen der DSGVO stellten – so die Verfügungsbeklagte weiter – eine abschließende Regelung auch hinsichtlich der Sanktionen im Falle von Verstößen dar, so dass hierneben weitergehende Ansprüche, insbesondere ein Unterlassungsanspruch, nicht in Betracht kämen. Im Übrigen behauptet sie, es liege kein von ihr zu verantwortender Verstoß gegen Vorschriften der DSGVO vor. Vielmehr habe sie insbesondere hinreichende Sicherheitsmaßnahmen betreffend den Datenschutz eingehalten und habe auch den Auftragsverarbeiter durch entsprechende Vereinbarungen ordnungsgemäß verpflichtet und überwacht. Ein Verstoß sei von der Verfügungsklägerin zudem schon nicht hinreichend dargetan. Insoweit sei auch - so meint die Verfügungsbeklagte - weder von einer Darlegungs- noch von einer Beweislast zu ihren Lasten auszugehen. Darüber hinaus bestehe keine Wiederholungsgefahr, da sie - so behauptet die Verfügungsbeklagte - nach Bekanntwerden der „Datenpanne“ hinreichende Sofortmaßnahmen angeordnet und ergriffen habe. Insbesondere habe der Auftragsverarbeiter gemäß ihren Anordnungen die Internetplattform betreffend das in Rede stehende Bonusprogramm „offline“ geschaltet, so dass es nicht mehr frei zugänglich sei. Schließlich meint die Verfügungsbeklagte, der Erlass einer einstweiligen Verfügung im Sinne des Antrags scheide aus, da hierdurch unzulässiger Weise die Hauptsache vorweggenommen würde. Im Übrigen wird wegen des weiteren Vortrags der Parteien auf die gewechselten Schriftsätze nebst Anlagen sowie das Protokoll der Sitzung vom 09.10.2019 Bezug genommen. Entscheidungsgründe Der Antrag ist zulässig und weitgehend begründet. A. Der Antrag auf Erlass einer einstweiligen Verfügung ist zulässig. Die internationale Zuständigkeit der deutschen Gerichte ergibt sich aus Art. 79 Abs. 2 S. 2 DSGVO, da die Verfügungsklägerin im Inland, in B., ihren gewöhnlichen Aufenthalt hat. Das Landgericht Hagen ist auch örtlich und sachlich zuständig. Die sachliche Zuständigkeit ergibt sich mit Blick auf den Streitwert unter Berücksichtigung des Verfügungsrahmens des Kreditkartenvertrages der Verfügungsklägerin von 10.000,00 € und einem dementsprechenden potentiellen Schadenseintritt, der für das streitwertrelevante Interesse maßgeblich ist, aus §§ 23 Nr. 1, 71 GVG. Die örtliche Zuständigkeit ergibt sich sowohl aus Art. 17 Abs. 1 lit. c), Art. 18 Abs. 1 EuGVVO sowie aus § 39 ZPO. Der Verfügungsklägerin ist auch das erforderliche Rechtsschutzinteresse zuzuerkennen, denn das Recht auf einen wirksamen gerichtlichen Rechtsbehelf nach Art. 79 Abs. 1 DSGVO knüpft nicht an eine objektive Rechtsverletzung, sondern an die „Ansicht des Betroffenen“ an, dass es zu einer Verletzung der ihm nach der DSGVO zustehenden Rechte gekommen sei. Einer Gewissheit oder gar einer aufsichtsbehördlichen Bestätigung der Rechtsverletzung bedarf es nicht (vgl. etwa Paal/Pauly/Martini, 2. Aufl. 2018, DSGVO Art. 79 Rn. 5; Kühling/Buchner/Bergt, 2. Aufl. 2018, DSGVO Art. 79 Rn. 7). Das Rechtsschutzinteresse der Verfügungsklägerin scheidet auch nicht wegen einfacher zu erlangenden Rechtsschutzes aus. Soweit die Verfügungsbeklagte hierzu auch mit Verweis auf andere landgerichtliche Entscheidung darauf abstellt, es stünde der Verfügungsklägerin frei, von ihrem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch zu machen und das Vertragsverhältnis hinsichtlich der betreffenden Kreditkarte zu beenden, vermag die Kammer dies nicht nachzuvollziehen. Es kann aus Sicht einer betroffenen Person, wie hier der Verfügungsklägerin, kaum als Rechtschutzmöglichkeit angesehen werden, einem ihr gegenüber rechtlich Verpflichteten, wie hier der Verfügungsbeklagten, anstelle der Inanspruchnahme gerichtlichen Rechtsschutzes schlicht aus dem Weg zu gehen und hierzu gar eingegangene vertragliche Beziehungen zu beenden. B. I. Der Verfügungsklägerin steht gegen die Verfügungsbeklagte ein Anspruch auf die begehrte Unterlassung im Umfang des Urteilstenors nach §§ 823 Abs. 2, 1004 Abs. 1 BGB i.V.m. Art. 1 Abs. 2, 5 Abs. 1 lit. f), 32 Abs. 2 DSGVO zu. 1. Entgegen der Auffassung der Verfügungsbeklagten kommt nach den vorstehenden Vorschriften auf Grundlage der Schutznormen der DSGVO ein Unterlassungsanspruch in Betracht. Nach dem Dafürhalten der Kammer ist die DSGVO insoweit nicht als abschließend anzusehen, so dass ein solcher Anspruch im Einklang mit den nationalen Vorschriften eröffnet ist. Insoweit hält die Kammer die Ausführungen etwa auch des Landgerichts Karlsruhe in dem seitens der Verfügungsbeklagten vorgelegten Urteil vom 11.10.2019 - 8 O 282/19, für zutreffend. Soweit die Verfügungsbeklagte im Übrigen etwa auf die in der Schutzschrift benannten Entscheidungen der Landgerichte Stuttgart und Wiesbaden verweist, sind diese Entscheidungen nicht übertragbar auf den vorliegenden Fall, da es dort um die Frage von Rechtsschutzmöglichkeiten im Zusammenhang mit wettbewerbsrechtlichen Unterlassungsansprüchen ging. Insoweit wurde dort auch bereits die Voraussetzung der eigenen Betroffenheit der dortigen Kläger und mithin deren Klagebefugnis verneint. Ferner ging es dort nicht um Ansprüche natürlicher Personen (vgl. LG Wiesbaden Urt. v. 05.11.2018 – 5 O 214/18; LG Stuttgart, Urt. v. 20.05.2019 – 35 O 68/18 KfH). Wie sich anhand einer Gesamtschau der Erwägungsgründe der DSGVO und insbesondere der Regelungen der Art. 1 Abs. 2, 79 Abs. 1 DSGVO zeigt, war der Verordnungsgeber bestrebt, durch die Regelungen der Verordnung den betroffenen Personen einen wirksamen Schutz im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten durch Verantwortliche und Auftragsverarbeiter im Sinne der Verordnung zu gewähren. Insbesondere ist insoweit zu berücksichtigen, dass nach Art. 1 Abs. 2 DSGVO gerade natürlichen Personen „insbesondere“ ein Recht auf Schutz ihrer personenbezogenen Daten zuerkannt worden ist. In Zusammenschau mit der Regelung des Art. 79 DSGVO soll den Betroffenen zudem ein wirksamer gerichtlicher Rechtsbehelf „unbeschadet“ eines verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs sowie „einschließlich“ des Rechts auf Beschwerde bei einer Aufsichtsbehörde zustehen. Eine irgendwie geartete abschließende Regelung wird bereits nach dem Wortlaut hieraus nicht erkennbar, sondern vielmehr das Bestreben nach einem umfassenden Rechtsschutz auch unter Berücksichtigung der im Übrigen bestehenden nationalen Rechtsschutzinstrumente. Hierzu gehört mithin auch ein neben dem – unmittelbar in Art. 82 DSGVO geregelten – Schadensersatzanspruch ein grundsätzlich in Betracht kommender Unterlassungsanspruch im Falle der Verletzung von Schutzgesetzen nach §§ 823 Abs. 2, 1004 Abs. 1 BGB (vgl. Paal/Pauly/Frenzel, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 20; Kühling/Buchner/Bergt, 2. Aufl. 2018, DS-GVO Art. 79 Rn. 1). Hiergegen greifen nach dem Dafürhalten der Kammer auch nicht die etwa von Kreße in Sydow, Europäische Datenschutzgrundverordnung (DSGVO Art. 79 Rn. 10 f., 2. Aufl. 2018), geäußerten Argumente mit Blick auf die Entstehungsgeschichte der DSGVO bzw. das Fehlen eines sich unmittelbar aus der DSGVO ergebenden Unterlassungsanspruchs durch. Im vorliegenden Fall kann insoweit dahinstehen, ob ein genereller Unterlassungsanspruch bezüglich eines jeden Falls verordnungswidriger Verarbeitung personenbezogener Daten über die Zielsetzung der DSGVO hinausginge. Im vorliegenden Fall geht es maßgeblich darum, dass personenbezogene Daten unter anderem der Verfügungsklägerin unbefugt veröffentlicht wurden, und mithin um die Frage eines hinreichenden Schutzes personenbezogener Daten. Gerade diesbezüglich trifft Art. 1 Abs. 2 DSGVO eine Wertung dahingehend, dass natürlichen Personen „insbesondere“ ein Recht auf einen solchen Schutz zuerkannt wird. Insoweit nimmt die DSGVO in Art. 1 zudem eine Differenzierung zwischen dem Schutz personenbezogener Daten von natürlichen Personen (Abs. 2) und dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Abs. 1) vor. Mit Blick auf diese herausgehobene Stellung des Rechts auf Schutz ihrer personenbezogenen Daten erscheint es daher aus Sicht der Kammer im Sinne des im Übrigen vorgeschriebenen Schutzes durch wirksame gerichtliche Rechtsbehelfe angezeigt und gerechtfertigt, einer natürlichen Person auch einen Unterlassungsanspruch nach den insoweit anerkannten, nationalen Rechtsinstituten i.V.m. den Vorschriften der DSGVO jedenfalls für diesen Bereich des Schutzes im Sinne von Art. 1 Abs. 2 DSGVO zuzuerkennen. 2. Es ist vorliegend nach dem sich aus dem wechselseitigen Vortrag und den vorgelegten Unterlagen, insbesondere den eidesstattlichen Versicherungen, ergebenden Sachstand ein von der Verfügungsbeklagten zu verantwortender Verstoß gegen Art. 1 Abs. 2, 5 Abs. 1 lit. f), 32 Abs. 2 DSGVO anzunehmen. a) Nach den Art. 5 Abs. 1 lit. f), 32 Abs. 2 DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. Zudem kommt bereits nach der Wertung des Art. 1 Abs. 2 DSGVO den dortigen Regelungen Schutzcharakter zu (vgl. Gola DS-GVO/Gola/Piltz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 26), so dass auch insoweit der nach §§ 823 Abs. 2, 1004 Abs. 1 BGB anerkannte Unterlassungsanspruch im Falle einer Schutzgesetzverletzung greift. b) Ein Verstoß gegen die vorgenannten Vorschriften ist nach Auffassung der Kammer im vorliegenden Fall dadurch indiziert, dass es unstreitig zu einer „Datenpanne“ gekommen ist, infolge derer unter anderem personenbezogene Daten der Verfügungsklägerin wie Name, Adresse, E-Mail-Adresse unbefugt öffentlich zugänglich gemacht wurden. Insoweit ist zu berücksichtigen, dass der für die Datenverarbeitung Verantwortliche nach Art. 5 Abs. 2 DSGVO die Einhaltung der Datenverarbeitungsgrundsätze nachweisen können muss, was die Vorschrift als Rechenschaftspflicht bezeichnet. Hierzu ist streitig, ob die vorgenannte Regelung zu einer Beweislastumkehr zulasten des Verantwortlichen führt (bejahend: BeckOK DatenschutzR/Schantz, 29. Ed. 1.2.2019, DS-GVO Art. 5 Rn. 38; Gola DS-GVO/Pötters, 2. Aufl. 2018, DS-GVO Art. 5 Rn. 34; Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, DS-GVO Art. 5 Rn. 32; verneinend: Spindler/Schuster Elektron. Medien/Spindler/Dalby, 4. Aufl. 2019, DS-GVO Art. 5 Rn. 16; Sydow, Europäische Datenschutzgrundverordnung, DSGVO Art. 5 Rn. 53; Prof. Dr. Hoeren: Fake News? – Art. 5 DSGVO und die Umkehr der Beweislast, in MMR 2018, 637, beck-online). Im vorliegenden Fall kann eine Entscheidung hierzu dahinstehen, da unabhängig von der Frage der Beweislast sich aus dem Dafürhalten der Kammer aus der Rechenschaftspflicht des Verantwortlichen jedenfalls eine sekundäre Darlegungslast ergibt. Soweit der Betroffene, wie hier die Verfügungsklägerin, hinreichend substantiiert die Möglichkeit einer gegen die Vorschriften der DSGVO verstoßenden Datenverarbeitung darlegt, hat der betreffende Verantwortliche jedenfalls substantiiert darzulegen, dass er mit Blick auf den dargetanen Verstoß die Vorschriften der DSGVO eingehalten habe. Auch insoweit ist der insgesamt aus der DSGVO erkennbare, oben dargetane Wille des Verordnungsgebers zu berücksichtigen, den Betroffenen und insbesondere natürlichen Personen einen hinreichenden und effektiven Schutz, insbesondere einen Schutz ihrer personenbezogenen Daten zur Verfügung zu stellen. Hierbei ist das Grundproblem der Betroffenen zu beachten, welches darin besteht, dass sie als Außenstehende im Verhältnis zu den Verantwortlichen regelmäßig nicht die Möglichkeit haben, substantiiert dazu vorzutragen, wie die Datenverarbeitung bei den Verantwortlichen erfolgte und inwieweit diese konkret verordnungswidrig sei. Hiermit korrespondiert auch die Wertung des Art. 82 Abs. 3 DSGVO, der im Hinblick auf den sich unmittelbar aus der Verordnung ergebenden Schadensersatzanspruch die Vermutung aufstellt, dass der Verantwortliche – oder der Auftragsverarbeiter – für einen eingetretenen Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde, haftet, sofern er nicht nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Der Verantwortliche, hier die Verfügungsbeklagte, hat mithin den Entlastungsbeweis zu führen, soweit der Betroffene, hier die Verfügungsklägerin, eine hinreichenden Anhalt für einen Verstoß gegen die Verordnung dartut (vgl. Gola DS-GVO/Gola/Piltz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 18; Paal/Pauly/Frenzel, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 15; Sydow, Europäische Datenschutzgrundverordnung, DSGVO Art. 82 Rn. 18). Da – wie oben dargestellt – hier die „Datenpanne“ in Form der unbefugten Veröffentlichung personenbezogener Daten der Verfügungsklägerin unstreitig ist und hierdurch ein unzureichender Schutz der personenbezogenen Daten im Datenverarbeitung indiziert wird, oblag es im vorliegenden Fall der Verfügungsbeklagten, substantiiert darzulegen, dass sie im Rahmen der Datenverarbeitung hinreichende Schutzmaßnahmen getroffen habe. Mit Blick auf den unstreitigen Vorfall der „Datenpanne“ hätte es ihr für einen hinreichenden Vortrag und einer etwaig der Verfügungsklägerin aufzuerlegenden Beweislast oblegen, darüber hinaus substantiiert darzutun, wie es zu dem Vorfall kam und insbesondere – soweit sie gerade hierauf abstellt – auf welcher Grundlage davon auszugehen sei, dass die „Datenpanne“ ausschließlich im Verantwortungsbereich des im Auftrag der Verfügungsbeklagten handelnden Auftragsverarbeiters, der Firma V., aufgetreten sei. Dem ist die Verfügungsbeklagte vorliegend nicht hinreichend nachgekommen. Sowohl aus ihrem schriftsätzlichen Vortrag wie auch aus den vorgelegten eidesstattlichen Versicherungen des Herrn P. vom 27.09.2019 und 08.10.2019 sowie von Herrn Z. vom 04.09.2019 ergeben sich insgesamt keine hinreichenden Angaben zu der Art und Weise der Datenverarbeitung auf Seiten der Verfügungsbeklagten und insbesondere den dort angewandten Schutzmaßnahmen im Sinne der Art. 5 Abs. 1 lit. f), 32 Abs. 2 DSGVO. Gleiches gilt für entsprechendes Vorgehen und Maßnahmen auf Seiten des Auftragsverarbeiters. Dies führt auch insoweit nicht zur Entlastung der Verfügungsbeklagten, als der Verantwortliche und der Auftragsverarbeiter nach den Grundsätzen der DSGVO unabhängig voneinander für die Einhaltung der Vorschriften der Verordnung haften, etwa Art. 82 Abs. 3 DSGVO. Jedenfalls hätte die Verfügungsbeklagte insoweit substantiiert darstellen müssen, weshalb sie davon ausgeht, dass die „Datenpanne“ ausschließlich die Systeme des Auftragsverarbeiters betroffen hätte. Auch hierzu fehlen jedoch hinreichend substantiierte Angaben. Die Verfügungsbeklagte hat – auch in den genannten eidesstattlichen Versicherungen – lediglich pauschal vorgetragen, ihre eigenen Systeme seien nicht betroffen. Die bloße Versicherung dieser Annahme an Eides statt genügt insoweit nicht. Soweit die Verfügungsbeklagte bzw. ihr Vizepräsident P. in der eidesstattlichen Versicherung vom 08.10.2019 (Anlage AG 20, Seite 2, Ziff. 5) dargestellt hat, sie verfüge über Protokolldateien, die die „Aufrufhistorie“ zwischen dem Auftragsverarbeiter und ihren eigenen Systemen zeigten, und sich hieraus keine Belege dafür ergeben hätten, dass es Eindringungsversuche in das System der Verfügungsbeklagten gegeben hätte, genügt auch dies nicht. Insoweit ist schon nicht nachvollziehbar, inwieweit derartige Protokolldateien, die nach der vorgenannten Darstellung lediglich den Datenverkehr zwischen der Verfügungsbeklagten und dem Auftragsverarbeiter betreffen, Aussagen über die Datenintegrität und insbesondere über etwaige Zugriffe Dritter auf die Datenverarbeitungssysteme zulassen würden. Auch im Übrigen bleibt der Vortrag der Verfügungsbeklagten in Zusammenschau mit den eidesstattlichen Versicherungen zu pauschal, als dass sich hieraus hinreichende Gesichtspunkte ergeben würden für eine fehlende Verantwortlichkeit der Verfügungsbeklagten. Insbesondere erschließt sich auch aus der eidesstattlichen Versicherung des Herrn P. vom 27.09.2019 (Anlage AG 16, S. 1 f.) weder, dass nur das System des Auftragsverarbeiters betroffen gewesen wäre, noch dass lediglich dieser personenbezogene Daten der Verfügungsklägerin verarbeiten würde. Vielmehr wird dort dargestellt, dass die Verfügungsbeklagte gerade im Rahmen ihres Kerngeschäfts alle personenbezogenen Daten verarbeitet, die für die Zahlungstransaktionen betreffend die ausgegebenen Kreditkarten erforderlich sind. Insoweit hat der Vizepräsident der Verfügungsbeklagten dort selbst darauf hingewiesen, dass sie diesbezüglich als Auftragsverarbeiter der die Kreditkarten ausstellenden Banken agiere. Zudem hat er selbst zum damaligen Zeitpunkt darauf hingewiesen, dass die Untersuchungen des in Rede stehenden Vorfalls noch andauerten. 3. Jedenfalls mit Blick auf den letztgenannten Umstand, wonach die Verfügungsbeklagte jedenfalls noch im Rahmen der Verarbeitung der Zahlungstransaktionen personenbezogene Daten der Verfügungsklägerin verarbeitet, ist auch von der für den Unterlassungsanspruch erforderlichen Wiederholungsgefahr auszugehen, zumal diese im Regelfall durch die Erstbegehung indiziert wird (vgl. MüKoBGB/Baldus, 7. Aufl. 2017, BGB § 1004 Rn. 290). Vor diesem Hintergrund ist die Verfügungsklägerin mit Blick auf den Fortbestand des Kreditkartenvertrages Betroffene im Sinne der DSGVO und zudem darauf angewiesen, dass die Verarbeitung ihrer personenbezogenen Daten auf Seiten der Verfügungsbeklagten unter Berücksichtigung hinreichender Schutzmaßnahmen im Sinne der Art. 5 Abs. 1 lit. f), 32 Abs. 2 DSGVO erfolgt. Unstreitig und bereits nach dem eigenen Vorbringen der Verfügungsbeklagten ist sie – insoweit jedenfalls als Auftragsverarbeiter – mit der Verarbeitung personenbezogener Daten im Rahmen der Verarbeitung der Kreditkartentransaktionen betraut. Mithin wird sie auch künftig personenbezogene Daten der Verfügungsklägerin zu verarbeiten haben. II. Der Verfügungsklägerin kommt auch ein Verfügungsgrund zugute. Mit Blick auf den durch die eingetretene „Datenpanne“ indizierten unzureichenden Schutz der personenbezogenen Daten erfolgt hieraus die Gefahr eines erneuten, vergleichbaren Vorfalls. Vor dem Hintergrund, dass zu diesen Daten auch die Kreditkartendaten der Verfügungsklägerin – und dies bezogen auch auf einen nicht unerheblichen Verfügungsrahmen von 10.000,00 € – gehören, ist auch von einer nicht unerheblichen Gefahrenlage zulasten der Verfügungsklägerin auszugehen. Daher liegt auch eine hinreichende Dringlichkeit für den Erlass einer einstweiligen Verfügung vor. Hieran ändert auch der von der Verfügungsbeklagten dargetane Umstand nichts, wonach sie die Internetseite des betreffenden Bonusprogramms zwischenzeitlich „offline“ geschaltet habe. Auch wenn hiernach – wie in öffentlicher Verhandlung festgestellt werden konnte – die betreffende Internetseite nicht mehr frei zugänglich angewählt werden kann, ergibt sich hieraus nicht, dass die insoweit fortbestehenden Daten insbesondere physisch für unbefugte Dritte nunmehr unzugänglich wären. Im Übrigen ginge es insoweit nach dem eigenen Vortrag der Verfügungsbeklagten um die Art und Weise der Datenverarbeitung auf Seiten des Auftragsverarbeiters. Da die Verfügungsbeklagte jedoch bereits nicht hinreichend dargetan hat, nicht selbst für die „Datenpanne“ verantwortlich zu sein bzw. hiervon nicht betroffen zu sein, kommt es für den hier in Rede stehenden Anspruch nur auf die bei der Verfügungsbeklagten selbst anfallende Datenverarbeitung an. III. Entgegen der Auffassung der Verfügungsbeklagten scheitert der Antrag auch nicht an einer insbesondere mit Blick auf die Bestimmtheit unzureichenden Antragstellung. Nach dem Sinn und Zweck des einstweiligen Rechtsschutzes und insbesondere der Regelung des § 738 Abs. 1 ZPO hat das angerufene Gericht nach freiem Ermessen zu bestimmen, welche Anordnungen zur Erreichung des mit dem Antrag verfolgten Zwecks erforderlich sind. Insoweit obliegt es der Verfügungsklägerin bereits nicht, einen präzisen Antrag zu stellen und eine bestimmte Maßnahme zu beantragen. Die Angabe des Rechtsschutzzieles, der Sicherung der gegenwärtigen oder zukünftigen Prozessrechtsstellung zum Zwecke der Rechtsverwirklichung und Rechtsdurchsetzung durch den Prozess, reicht aus (vgl. MüKoZPO/Drescher, 5. Aufl. 2016, ZPO § 938 Rn. 5). Vor diesem Hintergrund oblag es der Kammer, dem mit dem vorgebrachten Antrag der Verfügungsklägerin deutlich gewordenen Rechtsschutzziel durch eine auch den Interessen der Verfügungsbeklagten noch entsprechenden Maßnahme Rechnung zu tragen. Hiernach erschien der Kammer die schließlich tenorierte Anordnung erforderlich, aber auch hinreichend. IV. Dem Erfolg des Antrags der Verfügungsklägerin steht auch nicht der Einwand der Vorwegnahme der Hauptsache entgegen. Insoweit war zwar eine zeitliche Beschränkung im Hinblick auf die Antragsfassung bezogen auf die rechtskräftige Entscheidung in der Hauptsache angezeigt. Im Übrigen liegt hier jedoch eine Fallkonstellation vor, in der eine anderslautende Maßnahme nicht im Sinne eines effektiven Rechtsschutzes ausreichend gewesen wäre. Grundsätzlich sind zwar nur Maßnahmen zulässig, die die Einstweiligkeit wahren, weil sie nur bis zum Abschluss des Prozesses Wirkungen in der Hauptsache entfalten, und weder die Entscheidung über das zu sichernde Recht vorweg nehmen noch als vorweg genommene Vollstreckung dessen endgültige Vollziehung bewirken. Dennoch gibt es prozessuale Fallgestaltungen, die eine Sicherung der prozessualen Rechtsstellung nur dann ermöglichen, wenn sich der Inhalt der einstweiligen Verfügung unmittelbar auf (zumindest partielle) Erfüllung des Hauptsacheanspruchs richtet. In solchen Ausnahmefällen ist eine Befriedigungsverfügung möglich (MüKoZPO/Drescher, 5. Aufl. 2016, ZPO § 938 Rn. 8). Dies ist vorliegend der Fall. Bis zur Einhaltung hinreichender Schutzmaßnahmen kann ein verordnungsgemäßer, hinreichender Schutz der personenbezogenen Daten der Verfügungsklägerin nur dadurch erzielt werden, dass eine Datenverarbeitung vollständig unterbleibt. Mildere Mittel sind nicht ersichtlich. Im Übrigen ist insoweit zu berücksichtigen, dass der Verfügungsbeklagten mit der hiesigen Verfügung nicht mehr aufgegeben wird, als ihr mit Blick auf die Vorschriften der DSGVO ohnehin obliegt. Soweit zur näheren Konkretisierung der in Rede stehenden Schutzmaßnahmen auf die Vorgaben des Sicherheitsstandards der Payment Card Industry (PCI) Version 3.2.1 Bezug genommen worden ist, handelt es sich zudem um solche Standards, die nach dem unstreitigen Sachstand unter anderen von der Verfügungsbeklagten selbst erstellt worden ist. V. Die Nebenentscheidungen folgen aus §§ 92 I, 709 S. 1 ZPO. VI. Der Streitwert wird auf 10.000,00 EUR festgesetzt. J. G. Y. Richterin am Landgericht G. ist urlaubsbedingt ortsabwesend und deshalb verhindert, ihre Unterschrift beizufügen. B., 16.10.2019 LG B., 10. Zivilkammer Der Vors. J. VRLG