2 O 85/24

1. Die Klage wird abgewiesen. 2. Die Klagepartei hat die Kosten des Rechtsstreits und die außergerichtlichen Kosten des Nebenintervenienten zu tragen. 3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar. Soweit die Klage zulässig ist (I.), hat sie in der Sache keinen Erfolg (II.). Vor diesem Hintergrund ergeben sich auch die prozessualen Nebenentscheidungen (III.). I. Die Klage ist nur teilweise zulässig, hinsichtlich der Klageanträge zu 2) (Feststellung) und 3) (Unterlassung) ist sie bereits unzulässig. 1. Das angerufene Landgericht Trier ist international und örtlich zuständig. Die internationale Zuständigkeit der deutschen Gerichte folgt vorliegend im zeitlichen Anwendungsbereich der DSGVO nach Art. 99 Abs. 2 DSGVO ab dem 25.05.2018 aus Art. 79 Abs. 2 Satz 1 DSGVO in Verbindung mit Erwägungsgrund 22 DSGVO sowie aus Art. 79 Abs. 2 Satz 2 Hs. 1 DSGVO, jeweils als unmittelbar geltendes Recht (Art. 288 Abs. 2 AEUV). Hiernach sind für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter wegen Ansprüchen nach der DSGVO die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat (Art. 79 Abs. 2 Satz 1 DSGVO). Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist (Art. 79 Abs. 2 Satz 2 DSGVO). Nachdem die Klagepartei an ihrem Wohnsitzgericht Klage erhoben hat, besteht eine Vermutung dahingehend, dass sie an ihrem Aufenthaltsort geklagt hat (vgl. BGH, BeckRS 2020, 23312 Rn. 16; OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, juris Rn. 251). Nachdem die Klagepartei als Verbraucherin gehandelt hat, ergibt sich die internationale Zuständigkeit deutscher Gerichte überdies aus Art. 17 Abs. 1 Buchst. c, Art. 18 Brüssel Ia-VO. Auf das Vertragsverhältnis ist materiell-rechtlich deutsches Recht anzuwenden. Der Vertrag unterliegt nach Art. 3 Abs. 1, Art. 6 Abs. 2 der VO (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17.06.2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I-VO; ABl. 2008 L 177, Seite 6) dem von den Parteien ausweislich der Nutzungsbedingungen gewählten deutschen Recht (BGH, Urteil vom 12.07.2018 - III ZR 183/17, NJW 2018, 3178 [3179 Rn. 20]). Die sachliche Zuständigkeit des Landgerichts Trier ergibt sich aus §§ 23 Nr. 1, 71 Abs. 1 ZPO. Es steht der Klagepartei auch frei, mehrere Anträge in einer Klage zu verbinden, § 260 ZPO. 2. Der Zulässigkeit des Klageantrages zu Ziffer 1) steht nicht entgegen, dass die Klagepartei zuwider § 253 Abs. 2 Nr. 2 ZPO keine bestimmten (Schadensersatz-)Antrag gestellt hat. Dies ist bei Klagen auf Zahlung eines Geldbetrages, dessen Höhe gemäß § 287 ZPO von einer gerichtlichen Schätzung abhängt oder - wie hier - ins billige Ermessen des Gerichts gestellt ist, dann entbehrlich, wenn die Klagepartei die Schätzungsgrundlagen umfassend dargelegt und ihre Vorstellung von einer Größenordnung des auszusprechenden Entschädigungsbetrages mitgeteilt hat (vgl. ständige Rechtsprechung seit BGH, Urt. v. 13.12.1951 - III ZR 144/50, BGHZ 4, 138 = juris Rn. 6 ff.). Diesen Anforderungen hat die Klagepartei genügte getan, indem sie zu den angeführten Schadensfolgen vorgetragen und die wesentliche Größenordnung des angestrebten Schadensersatzes mit einem Betrag von (mindestens) 4.000,00 EUR beziffert hat. 3. Soweit die Klagepartei mit dem Klageantrag zu 2) die Feststellung des Anspruchs auf Ersatz künftiger materieller Schäden dem Grunde nach begehrt, ist die Klage jedoch bereits unzulässig. Es fehlt unter Beachtung des klägerischen Vortrages bereits an der schlüssigen Darlegung eines erforderlichen Feststellungsinteresses gemäß § 256 Abs. 1 ZPO. Für die Zulässigkeit einer Klage auf Feststellung der Ersatzpflicht hinsichtlich materieller oder immaterieller Schäden genügt – solange nicht reine Vermögensschäden geltend gemacht werden – bereits die Möglichkeit eines Schadenseintritts, die nur zu verneinen ist, wenn bei verständiger Würdigung des Einzelfalls kein Grund besteht, mit dem Eintritt eines derartigen Schadens wenigstens zu rechnen (EuGH, Urt. v. 04.05.2023 – C-300/21, NZA 2023, 621 Rn. 53, 54; EuGH, Urt. v. 25.03.2021 – C-501/18, BeckRS 2021, 5310 Rn. 126; BGH, Urt v. 05.10.2021 – VI ZR 136/20, NJW-RR 2022, 23 Rn. 28; BGH, Urt. v. 29.06.2021 – VI ZR 52/18, NJW 2021, 3130 Rn. 30). Bei primären Vermögensschäden muss der Betroffene zur Begründung des Feststellungsinteresses darlegen, dass ein auf die Verletzungshandlung zurückzuführender Schaden wahrscheinlich ist (BGH, Urteil vom 26.07.2018 – I ZR 274/16, WM 2018, 1591 Rn. 23). Zur Wahrscheinlichkeit eines materiellen Schadens trägt die Klagepartei aber nicht schlüssig vor. Ihr Vorbringen zum Schaden erschöpft sich lediglich in der Darlegung eines immateriellen Schadens, ohne dass sich hieraus im Allgemeinen noch für die erkennende Kammer im konkreten Einzelfall im Besonderen auch nur dem Grunde nach die Möglichkeit eines, wie auch immer gearteten materiellen Schadenseintritts nachvollziehbar erschließt. Auf das fehlende Feststellungsinteresse hatte die Beklagte bereits in der Klageerwiderung (Bl. 54 d.A.) hingewiesen. 4. Soweit die Klagepartei im Klageantrag zu 3) die Beklagte zu unterlassen sucht, "personenbezogene Daten der Klägerseite, Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitmaßnahmen vorzunehmen" ist dieser Klageantrag zu unbestimmt i.S.v. § 253 Abs. 2 Nr. 2 ZPO, da er bereits nicht deutlich macht, welche Fälle des "Dritten zugänglich (…) machens" er erfassen soll und welche "nach dem Stand der Technik möglichen Sicherheitsmaßnahmen" die Beklagte bei jeglicher Zugänglichmachung vornehmen müsste. Unterlassungsanträge müssen über den Wortlaut einer etwaigen Verbotsnorm hinaus an die konkrete Verletzungsform angepasst sein, um inhaltlich nicht über den materiell-rechtlichen Anspruch hinauszugehen (BGH, Urt. v. 29.06.1995, Az. ZR 137/93 – juris; BGH, Beschluss vom 10.04.2018, Az. ZR 247/17, – juris). Der Streitgegenstand muss so klar gefasst sein, dass sich die Beklagte im Erkenntnisverfahren erschöpfend verteidigen kann (st. Rspr. BGH, zB Urt. v. 17.07.2003, Az. ZR 259/00, Rn. 41, juris). Unterlassungsanträge, die sich auf die Umschreibung gesetzlicher Verbote beschränken, sind grundsätzlich zu unbestimmt und damit unzulässig (BGH, Urt. v. 24.11.1999, Az. ZR 189/97, – juris). Derartige Anträge sind nur dann ausreichend bestimmt, wenn der im Antrag wiedergegebene Verbotstatbestand konkret und eindeutig ist oder sich aus dem klägerischen Sachvortrag ergibt, auf welche konkrete Verhaltensweise sich der Unterlassungsanspruch beschränkt. Zudem muss der Sachverhalt im Wesentlichen unstreitig sein, die Unstimmigkeiten der Parteien dürfen sich nur auf die rechtliche Qualifizierung einer an sich unstreitigen Verhaltensweise beziehen (BGH, Urt. v. 30.04.2015, Az. ZR 196/13, GRUR 2015, 1235). Diesen Erfordernissen entspricht der Unterlassungsantrag nicht. Es ist anhand des Antrags nicht erkennbar, welches eigene Handeln genau der Beklagten abverlangt werden soll; dies hatte die Beklagtenseite bereits in der Klageerwiderung ausdrücklich gerügt (vgl. Bl. 55 d.A.). Der verwendete Begriff "nach dem Stand der Technik möglichen Sicherheitsmaßnahmen" ist auslegungsbedürftig, da die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen einem ständigen Wandel unterliegen. Zur Gewährleistung effektiven Rechtsschutzes kann zwar eine gewisse Auslegungsbedürftigkeit hinzunehmen sein. Dies ist allerdings nur dann der Fall, wenn über den Sinngehalt der verwendeten Begriffe keine Zweifel bestehen. Dies gilt aber nicht, wenn zwischen den Parteien Streit darüber besteht, ob das konkret beanstandete Verhalten darunter fällt, weil sonst der im Erkenntnisverfahren beizulegende Streit gerade ins Vollstreckungsverfahren verlagert würde (s. BGH NJW 2000, 2195). So liegt der Fall hier, da zwischen den Parteien Streit darüber besteht, ob die von der Beklagten ergriffenen Maßnahmen die nach "nach dem Stand der Technik möglichen Sicherheitsmaßnahmen" darstellten. Ferner fehlt es insoweit auch an einem vollstreckungsfähigem Inhalt. Es ist aus dem Antrag bei dieser Fassung nicht hinreichend ersichtlich, welche Maßnahmen konkret gefordert werden. Ohne eine solche Konkretisierung ist für die Beklagte aber unklar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde (vgl. LG Lübeck, Urteil vom 25.05.2023 – 15 O 74/22, Rn 59 – juris). II. 1. Die Klagepartei hat keinen Anspruch auf Ersatz immaterielle Schäden nach Art. 82 Abs. 1, Abs. 2 DSGVO, den sie mit dem Klageantrag zu 1) geltend macht. Nach Art. 82 Abs. 1, Abs. 2 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Nach Art. 82 Abs. 3 DSGVO ist die Haftung ausgeschlossen, wenn der Verantwortliche oder der Auftragsverarbeiter nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Die Voraussetzungen für den Schadensersatzanspruch nach Art. 82 Abs. 1, Abs. 2 DSGVO sind nicht erfüllt. Das Gericht ist bereit nicht von einem (schuldhaften) Verstoß der Beklagten gegen die DSGVO überzeugt. Im Einzelnen: a) "Verantwortlicher" im Sinne der DSGVO ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nach Art. 5 Abs. 1 f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen, wobei dies der Verantwortliche nach Art. 5 Abs. 2 DSGVO nachzuweisen hat. Nach Art. 24 Abs. 1 S. 1 DSGVO setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Nach Art. 24 Abs. 2 DSGVO müssen diese Maßnahmen die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen, sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht. Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, und zwar unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Die DSGVO zielt darauf ab, ein Gleichgewicht herzustellen zwischen den Interessen der für die Verarbeitung personenbezogener Daten Verantwortlichen und den Rechten der Personen, deren personenbezogene Daten verarbeitet werden. Das angestrebte Ziel besteht darin, die Entwicklung der digitalen Wirtschaft zu ermöglichen und dabei ein hohes Schutzniveau für Personen zu gewährleisten. Angestrebt wird somit eine Abwägung der Interessen des Verantwortlichen und der Personen, deren personenbezogene Daten verarbeitet werden (EuGH, Urteil vom 21. Dezember 2023 – C-667/21 –, Rn. 98, juris). Die DSGVO verlangt ein Risikomanagementsystem einzuführen, aber nicht die Beseitigung des Risikos von Verletzungen des Schutzes personenbezogener Daten (EuGH, Urteil vom 14.12.2023 – C-340/21 –, Rn. 29, juris). Aus dem Wortlaut der Art. 24 und 32 DSGVO ergibt sich, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern (EuGH, Urteil vom 14. Dezember 2023 – C-340/21 –, Rn. 30, juris). Die Art. 24 und 32 DSGVO können nicht dahin verstanden werden, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch einen Dritten für die Schlussfolgerung ausreicht, dass die von dem für die betreffende Verarbeitung Verantwortlichen ergriffenen Maßnahmen nicht im Sinne dieser Bestimmungen geeignet waren, ohne dass ihm die Möglichkeit eingeräumt wird, den Gegenbeweis zu erbringen (EuGH, Urteil vom 14. Dezember 2023 – C-340/21 –, Rn. 31, juris). Der für die Verarbeitung Verantwortliche ist (lediglich) verpflichtet, die Risiken einer Verletzung des Schutzes personenbezogener Daten einzudämmen, aber nicht, jede Verletzung ihres Schutzes zu verhindern (EuGH, Urt. v. 25.01.2024, C-687/21, NZA 2024, 320 Rn. 39). Deshalb reicht eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch "Dritte" im Sinne von Art. 4 Nr. 10 DSGVO allein nicht aus, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht "geeignet" im Sinne der Art. 24 und 32 DSGVO waren (EuGH, Urteil vom 14. Dezember 2023 – C-340/21 –, Rn. 39, juris). Aus Art. 32 Abs. 1 und 2 DSGVO ergibt sich, dass die Geeignetheit der technischen und organisatorischen Maßnahmen in zwei Schritten zu beurteilen ist. Zum einen sind die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung muss konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen. Zum anderen ist zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind (EuGH, Urteil vom 14.12.2023 – C-340/21 –, Rn. 42, juris). Der Verantwortliche verfügt über einen gewissen Entscheidungsspielraum bei der Festlegung geeigneter technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wie es Art. 32 Abs. 1 DSGVO verlangt (EuGH, Urteil vom 14.12.2023 – C-340/21 –, Rn. 43, juris). Aus dem Wortlaut von Art. 5 Abs. 2, Art. 24 Abs. 1 und Art. 32 Abs. 1 DSGVO geht hervor, dass die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 f) und Art. 32 DSGVO gewährleistet, dem für die betreffende Verarbeitung Verantwortlichen obliegt (EuGH, Urteil vom 14.12.2023 – C-340/21 –, Rn. 52, juris). Wenn eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO von Cyberkriminellen und damit von "Dritten" im Sinne von Art. 4 Nr. 10 DSGVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DSGVO, insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 f), Art. 24 und Art. 32 DSGVO obliegt, ermöglicht hat (EuGH, Urteil vom 14.12. 2023 – C-340/21 –, Rn. 71, juris). Hackerangriffe oder Datenlecks entlasten (nur), wenn der Verantwortliche die übliche Sorgfalt zum Schutz der Daten angewendet hat, wobei zu berücksichtigen ist, dass die DSGVO nicht erfordert, alle theoretisch möglichen Schutzvorkehrungen vorzusehen (BeckOK DatenschutzR/Quaas, 48. Ed. 1.5.2024, DSGVO, Art. 82, Rn. 18). b) Vor diesem Hintergrund kann ein schuldhafter Verstoß der Beklagten nicht angenommen werden. aa) Die Klagepartei legt bereits einen konkreten, datenschutzrechtlich relevanten Verstoß der Beklagten nicht dar. Die von der Beklagten im Einzelnen nachvollziehbar erläuterten Verfahrensabläufe zur Verarbeitung der Daten ihrer Versicherungsnehmer, zu der sie nach den Regelungen in Art. 5 ff. DSGVO berechtigt sein kann (vgl. im Einzelnen Bl. 41 ff. d.A.), vermag die Klagepartei mit ihrem bloßen Bestreiten nicht zu entkräften. Weder bringt sie Anhaltspunkte vor noch sind solche sonst ersichtlich, aus denen sich eine (konkrete) datenschutzrechtliche Pflichtverletzung der Beklagten herleiten ließe. Insbesondere ist die Beklagte dem Grunde nach durchaus berechtigt, unter Berücksichtigung der Maßstäbe des Art. 28 DSGVO die Streithelferin mit Diensten im Rahmen der Auftragsverarbeitung in Anspruch zu nehmen. Dass ihr hierbei eine Pflichtverletzung unterlaufen wäre, ist weder konkret vorgetragen noch lässt sich dies anhand etwaiger Anhaltspunkte vermuten. Insbesondere bestehen nach dem dezidierten Vortrag der Beklagten, auch zu den verwendeten Schutzmechanismen und den Zertifizierungen für diese sowie hinsichtlich des Managementsystems für Informationssicherheit der Streithelferin – während der Einzelheiten und Nachweise wird auf die Ausführungen hierzu im Schriftsatz der Beklagten vom 29.07.2024 ergänzend Bezug genommen (Bl. 40 (43 ff.) d.A.) – keine Zweifel an der Eignung der Streithelferin im Sinne von Art. 28 Abs. 1 DSGVO, wonach der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) hinreichend Garantien dafür bieten muss, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Jedenfalls lässt sich gegenüber und zu Lasten der Beklagten kein schuldhafter Fehler bei der Auswahlentscheidung durch die Beklagte feststellen, ihrer insoweit obliegenden Darlegungslast (vgl. Kremer in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 3. Auflage 2024, Art. 28 EUV 2016/679, Rn. 100) ist sie damit nachgekommen, ohne dass die Klagepartei sich erheblich hiergegen gewandt hätte, weshalb es keiner Beweisaufnahme bedurfte. Allein aus dem Umstand, dass es einen unerlaubten Datenzugriff gegeben hat, lässt sich kein Rückschluss auf eine Pflichtverletzung folgern, da ein solcher Angriff auch bei pflichtgemäßen Schutzvorkehrungen nicht gänzlich auszuschließen ist. Es fehlt danach jedenfalls an einem Verschulden. bb) Weiterhin war für den Datenabfluss eine Software verantwortlich, die weder von der Beklagten noch von ihrer Streithelferin entwickelt wurde, sondern von der Progress Software Corporation. Die Software war bis zum streitgegenständlichen Vorfall (unstreitig) als eine marktführende Anwendung als datensicherheits- und -schutzkonforme Austauschplattform im Markt etabliert, was sich auch in der potentiellen Betroffenheit von ca. 2.500 Unternehmen und öffentlichen Stellen durch den Cyberangriff zeigte (vgl. nur Klageerwiderung vom 29.07.2024, Bl. 40 (49 ff.) d.A.)). Das Gericht vermag daher ebenfalls nicht feststellen, dass die Streithelferin als Auftragsverarbeiter im Sinne des Art. 28 DSGVO ihrerseits durch die Verwendung der streitgegenständlichen Software (schuldhaft) gegen die DSGVO verstoßen hätte, geschweige denn die Beklagte, die die Streithelferin nur beauftragte, aber nicht die von der Streithelferin verwendete Software auswählte. Auch im Rahmen der informatorischen Anhörung des Vertreters der Streithelferin hat dieser für das Gericht glaubhaft, nachvollziehbar und im Einklang mit den wesentlichen Ausführungen der Beklagten- und Streithelferschriftsätze dargelegt, dass das Vertragsverhältnis zwischen Streithelferin und der Beklagten zum Zeitpunkt des Datenschutzvorfalls bereits mehrere Jahre ungestört und reibungslos lief und es über den Verlauf der bisherigen Geschäftsbeziehung (ansonsten) zu keinem Datenschutzvorfall - wie dem hier vorliegenden - gekommen sei (vgl. Protokoll v. 25.02.2025, Bl. 131 d.A.). Ein Vorwurf wäre der Beklagten insoweit nur dann zu machen, wenn sie vor dem Cyberangriff ausreichende Anhaltspunkte dafür gehabt hätte, dass die von der Streithelferin verwendete Software nicht ausreichend sicher gewesen wäre; dies ist aber für das Gericht nicht ersichtlich (so auch LG Düsseldorf, Az.: 13 O 184/24). . Auch sonstige materielle Anspruchsgrundlagen sind für das Klagebegehren zu 1) weder ersichtlich noch klägerseits schlüssig vorgetragen. 2. Selbst wenn man - entgegen der Auffassung des Gerichts - von einer Zulässigkeit der Klageanträge zu 2) (Feststellung) und 3) (Unterlassung) ausgehen würde, wären die Anträge in der Sache jedenfalls unbegründet. Es fehlt bereits zur Überzeugung des Gerichts an einem haftungsbegründenden Erstverstoß gegen die DSGVO. 3. Soweit die Klagepartei mit dem Klageantrag zu 4) Auskunft darüber verlangt, welche Daten durch welche Empfänger zu welchem Zeitpunkt durch das streitgegenständliche Datenleck erlangt werden konnten, ist ein etwaiger Auskunftsanspruch jedenfalls erfüllt im Sinne des § 362 Abs. 1 BGB (vgl. BGH, Urteil vom 15.06.2021 – VI ZR 576/19 Rn. 26, NJW 2021, 2726 (2728). Hiernach gilt ein Auskunftsanspruch nach Art. 15 Abs. 1 Hs. 2 DSGVO als erfüllt, wenn – wie hier in Gestalt des Informationsschreibens vom 03.07.2023 oder zumindest den Schriftsätzen der Klageseite im hiesigen Rechtsstreit – die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige Unrichtigkeit einer Erfüllung nicht entgegen (BGH, Urteil vom 15.06.2021 – VI ZR 576/19 Rn. 26, NJW 2021, 2726 (2728); OLG Hamm, Urt. v. 15.08.2023 – 7 U 19/23). 4. Mangels Bestehens eines Hauptanspruches (vgl. Klageanträge zu 1) bis 4)) gegenüber der Beklagten besteht auch unter keinem rechtlichen Gesichtspunkt der mit dem Klageantrag zu 5) geltend gemachten Anspruch auf Freistellung von vorgerichtlichen Rechtsanwaltskosten. III. 1. Die Kostenentscheidung beruht auf §§ 91 Abs. 1, 101 ZPO. 2. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 S. 1, 2 ZPO. Beschluss Der Streitwert wird auf 6.500,00 € festgesetzt. Im Einzelnen zu den Klageanträgen: zu 1) 4.000,00 EUR; zu 2) 500,00 EUR; zu 3) 1.500,00 EUR, zu 4) 500,00 EUR, zu 6) streitwertneutral, da Nebenforderung. Die Parteien streiten um u.a. um Schadensersatz-, Feststellungs- und Auskunftsansprüche im Zusammenhang mit dem Vorwurf von Datenschutzverletzungen. Die Klagepartei unterhält bei der Beklagten einen Rentenversicherungsvertrag mit der Versicherungsnummer …. Mit Schreiben vom 03.07.2023 teilte die Beklagte mit, die Datenaustauschplattform des Herstellers …, die weltweit für den verschlüsselten Datentransfer genutzt werde, sei Ziel eines Cyberangriffs geworden, bei dem auch verschiedene Daten der Klagepartei unerlaubt heruntergeladen werden konnten, wobei Bankdaten, Login-Name und Passwort für eine eventuelle Anmeldung über die "Riester-Online" nicht betroffen gewesen seien. Ob der Cyberangriff am 31.05.2023 (wie die Beklagte behauptet, vgl. Bl. 49 d.A.) oder am 13.06.2023 (wie die Klagepartei behauptet, vgl. Bl. 6 d.A.) erfolgte, ist zwischen den Parteien streitig. Im Einzelnen sind jedenfalls folgende Daten der Klagepartei betroffen: - Vor- und Zuname - Adresse - Geburtsdatum - Steueridentifikationsnummer - Sozialversicherungsnummer. Die Klagepartei beauftragte im Weiteren ihre Prozessbevollmächtigten und es folgte auf das Mitteilungsschreiben vom 03.07.2023 eine vorgerichtliche Kommunikation zwischen den Parteien im Wesentlichen über Schadensersatz- und Schmerzensgeldansprüche sowie die Erstattung der vorgerichtlichen Anwaltskosten. Wegen der Einzelheiten hierzu wird auf die wechselseitigen Schreiben der Parteien (Anlage K 1 und K 2) Bezug genommen. Die Klagepartei trägt vor, es habe bei der Beklagten verschiedenen Datenschutzverletzungen vorgelegen, aufgrund derer es zu dem Datenmissbrauch gekommen sei. Betroffen seien – anders als die Beklagte behauptet – alle hinterlegten Daten, also auch Telefonnummern, E-Mail-Adressen, Bankdaten und die Unterschrift der Klagepartei. Hierdurch habe sie, die Klagepartei, Schäden erlitten. So lebte sie seit der Mitteilung über den Datenverlust unter ständiger, innerer Unruhe, Überwachungsfurcht und Unbehagen. Die bisherigen Online-Aktivitäten, beispielsweise auf Internetplattformen Daten anzugeben, etwa zum Abschluss von Kaufverträgen sowie zu Urlaubsbuchungen, und die alltäglichen Bank- und Kreditkartenzahlungen seien nun nahezu vollumfänglich eingestellt worden, was zu erheblichen Einschränkungen im Alltag geführt habe. Sie hätte insbesondere Furcht vor Daten-Phishing, Trojanern und gefälschten Nutzerprofilen bei Online-Banking und in sozialen Netzwerken. Sie mache sich starke Sorgen, die aufgrund der inneren Unruhe und den Ängsten vor dem Missbrauch privater Daten dazu führten, dass das subjektive Empfinden extrem negativ durch die Ängste und Sorgen beeinträchtigt sei, insbesondere auch Schlaflosigkeit und dadurch tagsüber Abgeschlagenheit hervorgerufen würden. Soweit die Beklagte die Inanspruchnahme der Streithelferin für die Riester-Zulagenverwaltung im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO behauptet – diese Inanspruchnahme bestreitet die Klagepartei "mit Nichtwissen" -, sei eine datenschutzrechtliche Verletzung durch die Beklagte bereits darin zu sehen, dass diese überhaupt Daten der Klagepartei anderweitigen Dienstleistern zur Verfügung gestellt und so das Risiko für den Datenverlust gesetzt habe. Die Klagepartei beantragt, 1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der personenbezogenen Daten der Klägerseite wie Vor- und Nachnamen, Adresse, Steueridentifikationsnummer, Geburtsdaten, Unterschriften einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 4.000,00 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen; 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf die bei der Beklagten gespeicherten persönlichen Daten entstanden sind und/oder noch entstehen werden. 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern; 4. Die Beklagte wird verurteilt, der Klägerseite Auskunft über die personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch eine das streitgegenständliche Datenleck erlangt werden konnten. 5. Die Beklagte wird verurteilt, die Klägerseite von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 973,66 € nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz ab Rechtshängigkeit freizustellen. Die Beklagte sowie die Streithelferin beantragen, die Klage abzuweisen. Die Beklagte wendet sich im Wesentlichen gegen den Vorwurf, datenschutzrechtliche Verletzungen begangen zu haben; es fehle insoweit an jedweder Pflichtverletzung, jedenfalls aber treffe sie, die Beklagte, kein Verschulden. Sie trägt vor, sich im Rahmen der Riester-Zulagenverwaltung bedient hinsichtlich der Verarbeitung u.a. der Dienste der Streithelferin zu bedienen, die im Rahmen einer Auftragsverarbeitung gem. Art. 28 DSGVO für sie tätig gewesen sei und dies noch immer sei. Zur Verarbeitung der im Rahmen der Auftragsverarbeitung zur Verfügung gestellten Daten verwende die Streithelferin u.a. die Managed-File-Transfer-Software … des Anbieters … Software Corporation (vormals …, Inc.), welche weltweit von Unternehmen für den verschlüsselten Datentransfer genutzt werde. Der Managed-File-Transfer biete dabei – im Vergleich zu bestehenden technischen Alternativen wie z.B. File Transfer Protocol (FTP) oder Hypertext Transfer Protocol (http) – ein zuverlässigeres und effizienteres Mittel zur sicheren Übertragung von größeren Datenmengen in Dateiform, da es zusätzlich zu diesen Protokollen weitere Sicherheitsmechanismen implementiere. Das Schutzniveau der Anwendung im Hinblick auf den Zugriff unberechtigter Dritte habe namentlich im Zeitpunkt des Datenschutzvorfalls dem Stand der Technik entsprochen. Zusätzlich habe die Beklagte selbst wie auch die Streithelferin weitere technische bzw. organisatorische Maßnahmen (im Folgenden: TOM) genutzt, um eine Absicherung gegen den Zugriff unbefugter Dritter sicherzustellen. Zu dem Cyberangriff trägt sie vor, nach Auskunft des von der Streithelferin mit der forensischen Ermittlung beauftragten IT-Dienstleisters sei es am 31.05.2023 zwischen 9.27 Uhr und 10.43 Uhr zu einem Abfluss von Daten von einem Server der Streithelferin auf einen unbekannten Server mit der IP-Adresse … auf Veranlassung eines (weiterhin) unbekannten Angreifers gekommen. Dieser habe nach Auskunft des Anbieters eine sog. Web-Shell mit dem Namen "…" auf den betroffenen Server der Streithelferin hochgeladen. Hierdurch sei es dem Angreifer gelungen, sich Zugriff auf das Benutzerkonto der Streithelferin zu verschaffen, wobei dieses dann verwendet worden sei, um erfolgreiche Sitzungen mit der …-Datenbank einzurichten und Abfragen auszuführen, um Informationen aus dem System anzuzeigen und zu sammeln. Dabei habe es sich bei dem Angriff um einen sogenannten "…", d.h. um eine Schwachstelle, die nur dem Angreifer bekannt gewesen sei und dem Anbieter der Anwendung erst durch den Angriff selbst bekannt geworden sei, gehandelt. Bereits am 02.06.2023 sei das System mit einem von dem Hersteller bereitgestellten Sicherheitspatch um 10.17 Uhr gesichert worden, so dass weitere Angriffe und insbesondere der Abfluss weiterer Daten haben unterbunden werden können. Im Rahmen der am gleichen Tag erfolgten Wartungstätigkeiten der Anwendung sei die Datei "…" durch einen Techniker als deplatziert identifiziert und gelöscht worden. Soweit sie, die Beklagte, in ihrem Betroffeneninformationsschreiben gem. Art. 34 DSGVO mitgeteilt habe, dass ggf. die Unterschrift vom Datenmissbrauch betroffen sein könnte, habe sie nachträglich aufklären können, dass dies bei keinem Betroffenen der Fall gewesen sei. Die Streithelferin schließt sich unter Konkretisierung im Einzelnen im Wesentlichen den Ausführungen der Beklagten an. Die Klageschrift vom 16.04.2025 (Bl. 1 d.A.) ist der Beklagten am 27.05.2024 zugestellt worden (Bl. 33.1 d.A.). Die Beklagte hat dem Streithelfer mit Klageerwiderung vom 29.07.2024 den Streit verkündet (Bl. 40 d.A.); der Streithelfer ist dem Rechtsstreit mit Schriftsatz vom 29.8.2024 auf Seiten der Beklagten beigetreten (Bl. 81 d.A.). Das Gericht hat die Klagepartei sowie den Vertreter der Streithelferin in der mündlichen Verhandlung vom 25.02.2025 persönlich angehört. Wegen deren Angaben wird auf die Sitzungsniederschrift (Blatt 137 ff. der Akte) Bezug genommen. Hinsichtlich des weiteren Parteivorbringens wird ergänzend auf die zur Akte gereichten Schriftsätze nebst Anlagen sowie den Inhalt des Sitzungsprotokolls vom 25.02.2025 verwiesen.