Rechtsprechung / Amtsgericht Frankenthal (Pfalz)
Amtsgericht Frankenthal (Pfalz) Urteil vom 25.03.2025 – 3a C 317/24
ECLI:DE:AGFRAPF:2025:0325.3A.C317.24.00
Orientierungssatz
1. Ein immaterieller Schadensersatz in Höhe von 400 Euro kann zugesprochen werden, wenn der Betroffene nachvollziehbar darlegt, dass sensible personenbezogene Daten - etwa Wohnort, Profilbild-URLs und Geburtstag - durch eine Sicherheitslücke abgegriffen wurden und er dadurch in seiner informationellen Selbstbestimmung beeinträchtigt ist.(Rn.40) (Rn.48)
2. Ein Feststellungsinteresse für künftige Schäden aus einem Datenschutzverstoß kann sich aus der fortdauernden Beeinträchtigung der informationellen Selbstbestimmung ergeben, insbesondere wenn die Wiedererlangung der Kontrolle über die betroffenen Daten nicht mit zumutbarem Aufwand möglich ist.(Rn.30) (Rn.54)
3. Ein Unterlassungsantrag, der abstrakt formuliert ist, kann hinreichend bestimmt sein, wenn sich aus dem Klagevorbringen eindeutig ergibt, welche konkrete Verletzungshandlung - etwa die unautorisierte Zugänglichmachung über eine fehlerhafte API-Schnittstelle - untersagt werden soll.(Rn.25)
4. Ein Anspruch auf Auskunft über die Empfänger abgegriffener Daten besteht nur, wenn deren Identität feststeht; die bloße Möglichkeit einer Weitergabe genügt nicht.(Rn.63)
Tenor
1. Die Beklagte wird verurteilt, 400,00 € nebst Zinsen in Höhe von 5 %-Punkten über dem jeweiligen Basiszinssatz seit dem 07.01.2025 zu zahlen.
2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage entstanden sind und/oder noch entstehen werden.
3. Die Beklagte wird verurteilt, dem Kläger Auskunft über die personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten zu welchem Zeitpunkt bei der Beklagten durch den API-Bug erlangt werden konnten.
4. Die Beklagte wird verurteilt, die Klägerseite von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 360,33 Euro nebst Zinsen in Höhe von 5%-Punkten über den jeweiligen Basiszinssatz ab dem 07.01.2025 freizustellen.
5. Im Übrigen wird die Klage abgewiesen.
6. Die Kosten des Rechtsstreits hat die Beklagte zu 1/3 und die Klägerin zu 2/3 zu tragen.
7. Das Urteil ist vorläufige vollstreckbar. Der jeweilige Vollstreckungsschuldner kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht der jeweilige Vollstreckungsgläubiger vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrags leistet.
Tatbestand
Der Kläger fordert mit ihrer am 07.01.2025 zugestellten Klage von der Beklagten Schadensersatz und macht daneben Ansprüche auf Unterlassung, Feststellung und Auskunft wegen Verletzung der DSGVO geltend.
Die Beklagte mit Sitz in Irland betreibt das soziale Netzwerk *, auf dem die Klägerin ein Nutzerkonto unter ihrem Echtnamen S* hat. Die Klägerin gab auf dieser Plattform persönliche Daten ein, darunter die für die Registrierung notwendigen Angaben wie ihr vollständiger Name, ihre Mail-Adresse, ihren Geburtstag T*-ID, als auch Verifizierungsstatus, Wohnort, Anzahl der Freunde, Favoritenlisten, sowie URLs zum Profilbild.
Im Sommer 2021 nutzen Angreifer eine offene API-Schnittstelle aus, indem sie systematisch E-Mail-Adressen und Telefonnummern eingaben. Diese Daten konvertierten die Angreifer zu einem einheitlichen Datensatz und boten sie zum Verkauf an. Hiervon waren auch persönliche Daten der Klägerin betroffen. T* reagierte mit einer Pressemitteilung am 5. August 2022, in der das Unternehmen zugab, bereits im Januar 2022 über das Bug-Bounty-Programm von der Schwachstelle erfahren zu haben.
Nach dem Vortrag der Klägerin (dem die Beklagte bisher weder zugestimmt noch widersprochen hat) informierte die Beklagte weder die zuständige Datenschutzbehörde noch die Klägerin selbst über den Vorfall.
Die Klägerin begehrt von der Beklagten immateriellem Schadensersatz, da diese in mehrfacher Hinsicht gegen die Datenschutz-Grundverordnung verstoßen und ihre Daten nicht ausreichend geschützt habe. Die Klägerin habe einen spürbaren Kontrollverlust erlitten, was sich in einer großen Beunruhigung über einen möglichen Missbrauch der Daten, widerspiegele. Darüber hinaus begehrt sie die Feststellung, dass die Beklagte verpflichtet ist, ihm in diesem Zusammenhang alle künftigen Schäden zu ersetzen, und macht Unterlassungs- und Auskunftsansprüche geltend.
Die Klägerin beantragt:
Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Handynummer der Klägerseite sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname,
E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über dem jeweiligen
Basiszinssatz seit Rechtshängigkeit zu zahlen;
Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage entstanden sind und/oder noch entstehen werden;
Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, namentlich Telefonnummer, T* ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern;
Die Beklagte wird verurteilt, der Klägerin Auskunft über die personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch eine "Web-Scraping"-Anwendung des Kontaktimporttools erlangt werden konnten.
Die Beklagte beantragt,
die Klage abzuweisen
und führt hierzu aus,
die Anträge seien teilweise unzulässig und insgesamt unbegründet.
Der T* Account der Klägerin sei bereits nicht von dem im Jahr 2021 aufgetretenen Fehler in der Anwendungsprogrammierschnittstelle ("API") von T* 1 betroffen, den T* umgehend nach Kenntniserlangung untersuchte und behob. Dieser Fehler ermöglichte es jemandem, der sich bereits im Besitz der E-Mail-Adresse oder Telefonnummer eines Nutzers befand, mittels Eingabe dieser Daten die T*-ID ebenjenes Nutzers zu erhalten ("API-Bug"). Somit schieden sämtliche Ansprüche, die die Klägerin aus dem API-Bug herleiten will, aus. Selbst wenn man jedoch eine Betroffenheit der Klägerin von dem API-Bug unterstellen würde, läge kein Verstoß gegen die DSGVO vor, der einen Schadensersatzanspruch nach Art. 82 DSGVO begründen könne. Die von der Klägerin behaupteten Verstöße fallen zudem nicht in den Schutzbereich des Art. 82 DSGVO. Würde man gleichwohl von einer Schadensersatzpflicht dem Grunde nach ausgehen, wäre der Klägerin hieraus kein ersatzfähiger, kausaler immaterieller Schaden entstanden. Insbesondere sei hervorzuheben, dass die Klägerin die Kontrolle über ihre personenbezogenen Daten jedenfalls nicht infolge des API-Bugs verloren habe. Ein Feststellungsanspruch in Bezug auf etwaige künftige Schäden bestünde nicht. Dieser scheitere, weil ein zukünftiger materieller oder immaterieller Schaden nicht überwiegend wahrscheinlich sei. Daneben bestünde kein Unterlassungsanspruch zu, auch scheide ein Auskunftsanspruch der Klägerin nach Art. 15 Abs. 1 DSGVO aus. Dieser Anspruch bestehe schon dem Grunde nach nicht und wäre ohnehin im Rahmen des Möglichen erfüllt.
Zur Ergänzung des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen verwiesen.
Das Amtsgericht Frankenthal (Pfalz) hat die Klägerin gemäß § 141 Abs. 1 ZPO persönlich angehört; wegen des Ergebnisses wird auf den Inhalt der Sitzungsniederschrift vom 05.03.2025 Bezug genommen.
Entscheidungsgründe
Der auf Ersatz immateriellen Schadens gerichtete Antrag zu 1) und der Auskunftsanspruch zu 4) sind zulässig, aber nur im tenorierten Umfang begründet.
Der Feststellungsantrag zu 2) und der Unterlassungsantrag zu 3) sind zulässig und begründet.
Die Klage ist zulässig.
Die Klage wurde gemäß § 253 II, III ZPO ordnungsgemäß erhoben. Auch der Unterlassungsantrag war hinreichend bestimmt gemäß § 253 II Nr.2 ZPO.
Ein Klageantrag ist hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt und das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt.
Eine hinreichende Bestimmtheit ist bei einem Unterlassungsantrag für gewöhnlich gegeben, wenn eine Bezugnahme auf die konkrete Verletzungshandlung erfolgt oder die konkret angegriffene Verletzungsform antragsgegenständlich ist und der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Rechtsverstoß und damit das Unterlassungsgebot liegen soll (vgl. BGHZ 234, 56 Rn. 26) Demgegenüber sind Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen, grundsätzlich zu unbestimmt
An diesen Anforderungen gemessen ist der Unterlassungsantrag unter Bezugnahme auf seinen Vortrag noch bestimmt genug. Zwar hätte der Begriff des "an einem Dritten zugänglich machen" und die an Art. 32 I DS-GVO angelehnte Formulierung der "nach dem Stand der Technik möglichen Sicherheitsmaßnahmen" der Beklagten gerade keine konkrete Verletzungshandlung aufgezeigt. Jedoch kann der Antrag der Klägerin zu einem hinreichend bestimmten Antrag ausgelegt werden, §§ 133, 157 BGB, da das Klagevorbringen diesen hinreichend konkretisiert: Insbesondere kann die Klägerseite von der Beklagten (T*) verlangen, die unautorisierte Zugänglichmachung personenbezogener Daten, wie E-Mail-Adressen, über mögliche Schwachstellen in der API-Schnittstelle zu unterlassen.
Der ordnungsgemäßen Klageerhebung steht darüberhinaus auch nicht entgegen, dass die Klageschrift nicht übersetzt worden ist, da dies weder nach der deutschen Zivilprozessordnung noch nach der EU-Zustellungsverordnung vorausgesetzt wird.
Die deutschen Gerichte sind auch nach Art. 82 VI, Art.79 II S.2 DSGVO international zuständig, da die betroffene Klägerin ihren gewöhnlichen Aufenthaltsort in Deutschland hat.
Das Amtsgericht Frankenthal ist sowohl örtlich als auch sachlich zuständig. Die örtliche Zuständigkeit richtet sich nach § 44 I S.2 BDSG und begründet sich mit dem gewöhnlichen Aufenthalt der Klägerin in F*. Die sachliche Zuständigkeit des Amtsgerichts begründet sich gemäß §§ 23 Nr.1, 71 GVG mit dem Streitwert, welcher 5000 Euro nicht übersteigt.
Das für den Feststellungsantrag gemäß § 256 I ZPO erforderliche Feststellungsinteresse liegt vor, da eine hinreichende Wahrscheinlichkeit dafür besteht, dass in der Zukunft weitere Schäden aus dem Scraping-Vorfall entstehen und der Antrag der Hemmung der Verjährung von Ansprüchen dient, § 204 BGB.
Es liegt auch ein Rechtschutzbedürfnis hinsichtlich des Unterlassungsanspruchs vor. Das Rechtsschutzbedürfnis der Klägerin entfällt insbesondere nicht dadurch, dass sie ihren T*-Account vollständig oder ihre Email-Adresse aus ihrem Nutzerkonto löschen könnte. Insofern ist ihr Rechtsschutzziel – Zugänglichmachung personenbezogener Daten, wie E-Mail-Adressen, über mögliche Schwachstellen in der API-Schnittstelle zu unterlassen, mit dem dann erreichten Ergebnis der Löschung ihrer Email oder ihres Accounts, nicht identisch.
Die Voraussetzungen des § 260 ZPO liegen vor. Das gleiche Prozessgericht ist zuständig, die Parteien sind identisch, es handelt sich um dieselbe Prozessart und es liegt kein Verbindungsverbot vor.
1.
Der Schadensersatzanspruch wegen des API-Bugs und die in unmittelbarem Zusammenhang stehende fehlerhafte Umsetzung der Auskunftspflichten stellt einen einheitlichen Antragsgegenstand dar. Denn bei natürlicher Betrachtung können die Verstöße gegen die Datenschutz-Grundverordnung nicht isoliert beurteilt werden, da sie sämtlich in einem einheitlichen Geschehen wurzeln.
a.
Der sachliche Anwendungsbereich der DSGVO ist nach Art 2 DSGVO eröffnet, da die bei der Beklagten gespeicherten Informationen der Klägerin ohne Weiteres personenbezogene Daten enthalten. Der räumliche Anwendungsbereich ist gemäß Art.3 I DSGVO eröffnet, da T* eine Niederlassung in Irland und damit in einem Mitgliedstaat der Europäischen Union hat. Der zeitliche Anwendungsbereich gemäß Art. 99 II DSGVO ist eröffnet. Insofern ist der Zeitpunkt des Scraping-Vorfalls maßgeblich. Dieser war im Sommer 2021 und somit nach dem Zeitpunkt des Inkrafttretens der DSGVO.
b.
Erforderlich für einen Anspruch aus Schadensersatzanspruch iSd Art. 82 I DSGVO ist ein Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines Schadens sowie einen Kausalzusammenhang zwischen diesen.
aa.
Ein Verstoß gegen die DSGVO in Form des Art. 5 I liegt vor. Die Beklagte hat es versäumt, die Grundsätze der Rechtmäßigkeit und Transparenz einzuhalten, indem personenbezogene Daten ohne transparente Information erfasst wurden und die erfassten Daten über das hinausgingen, was für den ursprünglich deklarierten Verarbeitungszweck notwendig war. Daneben wurde die Integrität und Vertraulichkeit der Daten durch unzureichende Sicherheitsmaßnahmen gefährdet.
In diesem Rahmen kommt es auch nicht darauf an, ob ein weiterer Verstoß gegen die Datenschutz-Grundverordnung in Form der Art. 32, Art. 33, Art. 34, Art. 15 festgestellt werden kann, da der Schadensersatzanspruch des Art. 82 I DSGVO ausschließlich eine Ausgleichsfunktion, jedoch keine Straffunktion erfüllt und daher mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führen.
Daneben kann auch der Streit, ob ein Verstoß gegen die DSGVO nur die unrechtmäßige Verarbeitung von personenbezogenen Daten erfasst, mangels Entscheidungserheblichkeit dahinstehen.
bb.
Der Klägerin ist auch ein Schaden in immaterieller Form entstanden. Der Begriff des Schadens ist in Ermangelung eines Verweises auf das innerstaatliche Recht der Mitgliedstaaten autonom unionsrechtlich zu definieren. Hier soll nach Erwgr. 146 S. 3 DSGVO der Begriff des Schadens weit ausgelegt werden, darf sich aber auch nicht in einem Verstoß gegen die DSGVO erschöpfen. Nach der Leitentscheidung des BGH in NJW 2025, 298 kann ein immaterieller Schaden im Sinne des Art. 82 I DSGVO auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO sein. Weder muss eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen. Der Europäische Gerichtshof hat mit Urteil vom 20.06.2024 in der Rechtssache C-590/22 seine bisherige Rechtsprechung bestätigt, dass die Befürchtung einer von einem DSGVO-Verstoß betroffenen Person, dass ihre Daten von Dritten missbräuchlich verwendet werden können, für sich genommen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen kann. Zudem stellt der EuGH (erneut) fest, dass die Kriterien für die Bestimmung der Beträge der Geldbußen gemäß Art. 83 DSGVO aufgrund ihrer unterschiedlichen Zielrichtung nicht auf den zu erkennenden Schadensersatz nach Art. 82 DSGVO anzuwenden sind. Das Gericht betont insoweit, dass dem Schadensersatz nach Art. 82 DSGVO zwar keine abschreckende oder Straffunktion innewohnt, wohl aber eine Ausgleichsfunktion, die vor dem Äquivalenz- und Effektivitätsgrundsatzes den erlittenen Schaden "vollständig und wirksam" kompensieren soll.
Einen solchen Kontrollverlust über ihre Daten und den damit verbundene Beunruhigung über einen Missbrauch macht die Klägerin hier auch unter Verweis auf die Prüfung der Seite "Have I Been Pwned" geltend und hat dies im Rahmen ihrer Anhörung gemäß § 141 Abs. 1 ZPO auch nachvollziehbar geschildert, § 286 Abs. 1 ZPO.
cc.
Bezüglich der unzureichenden Sicherheitsvorkehrungen zum Schutz der Daten und des API-Bugs besteht unzweifelhaft ein Kausalzusammenhang. Diesen hat auch die Beklagte auch selbst in ihrer Pressemitteilung vom 5.8.2022 bestätigt.
Bezüglich der geltend gemachten verspäteten Auskunft ist das Gericht nicht zur Überzeugung gekommen, dass ein Kausalzusammenhang besteht. Soweit die Klägerin geltend macht, durch eine frühzeitige Mitteilung der Beklagten über den Vorfall hätte sie ihre Daten noch schützen können, indem sie ihr Passwort geändert hätte, verkennt sie, dass ein Datendiebstahl von organisierten Datenexperten innerhalb von wenigen Minuten/Sekunden abläuft. Insofern missversteht die zitierte Entscheidung des AG Duisburg ohnehin den Zweck des Art. 82 I DSGVO. Dieser liegt entgegen dortiger Ansicht nicht in der Abschreckung, sondern nach der Betrachtung des BGH und des EuGH in der Ausgleichsfunktion.
dd.
Ein Nachweis eines Verschuldens ist nicht notwendig.
ee.
Der Klägerin ist in Anbetracht der Pflichtverstöße der Beklagten nach der gebotenen Gesamtwürdigung gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz in Höhe von 400,00 € zuzusprechen.
Die Schadenshöhe begründet sich wie folgt:
Bei der Bemessung der Schadenshöhe gelten die iRv § 253 BGB entwickelten Grundsätze, wonach der Schaden nach § 287 ZPO zu schätzen ist. Dabei sind hinsichtlich des Art. 82 DS-GVO allgemein die Art, die Schwere und die Dauer, des Verstoßes, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße, Auswirkungen für die Betroffenen sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägungen einzubeziehen
Der API-Bug hat die Beklagte nicht nur oberflächlich in ihrer Privatsphäre (Allgemeines Persönlichkeitsrecht) verletzt. Der Datendiebstahl erschöpfte sich nicht nur in wenigen öffentlichen Daten, sondern bezog sich neben der Mail-Adresse, der T*-ID, dem vollständige Namen, dem Verifizierungsstatus auch auf den Wohnort, die Anzahl der Freunde, die Favoritenliste, die URLs zum Profilbild und den Geburtstag. Hierbei lässt sich festhalten, dass insbesondere der Datendiebstahl der URLs zum Profilbild und des Wohnortes ein erhebliches Gewicht haben. Zudem ist bisher noch ungeklärt, ob noch weitere sensible Daten entwendet wurden. Zusätzlich ist unklar, welcher Empfängerkreis Zugang zu den Daten hat. In diesem Zusammenhang berichtet die Klägerin bei ihrer persönlichen Anhörung auch widerspruchsfrei über ihre große Beunruhigung darüber. Diese Unsicherheit erhöht den Schaden der Klägerin.
Daneben ermöglicht der Vorfall potenziell unerwünschte Spam-Anrufe, SMS und Emails, die ebenfalls eindrucksvoll durch die Klägerin geschildert worden sind.
Auf der anderen Seite hat der API-Bug die Klägerin aber auch nicht im Kernbereich des Allgemeinen Persönlichkeitsrechts betroffen.
Zum einen hat die Klägerin nicht geltend gemacht andere typische Folgen von Scraping erlitten zu haben: So hat sie nicht vorgetragen, dass sie ihr generelles Vertrauen in Social Media und der damit verbundenen Datenspeicherung verloren habe. Daneben hat sie auch weder eine weitergehende psychischen Belastung, noch erfolgreiche Phising-Angriffe dargelegt.
Zum Anderen waren einige der gestohlenen Daten der Klägerin seit 2019 schon im Internet (Darknet) verfügbar. So war die Klägerin laut dem Protokoll von Have I Been Pwned vom Scraping der Email-Adresse, des Namens und der Adresse auf der Seite 8fit.com und myheritage.com betroffen.
Die Entscheidung muss jedoch erschwerend berücksichtigen, dass die Datenerhebungspraxis von der Beklagten systematisch und über einen längeren Zeitraum gegen die DSGVO verstieß.
Ebenso ist zu berücksichtigen, dass hier die Wiedererlangung der Kontrolle über die Daten nicht mit verhältnismäßigem Aufwand möglich wäre, da ein Wechsel der Rufnummer oder der Email-Adresse gerade nicht wieder die Kontrolle über das Profilbild oder die Adresse herbeiführen kann.
2.
Der Feststellungsantrag auf Ersatz aller zukünftigen Schäden durch den Beklagten hinsichtlich des API-Bugs gemäß Art.82 DSGVO ist begründet.
Der Kontrollverlust der Klägerin über ihre Daten dauert noch an.
Dem Anspruch steht nicht entgegen, dass die Klägerin keine über die bloße Möglichkeit hinausgehende hinreichende Schadenswahrscheinlichkeit dargelegt hat, da dies nicht erforderlich ist, da die Klägerin nicht nur einen reinen Vermögensschaden erleidet, sondern in ihrer informationellen Selbstbestimmung als Ausfluss des Allgemeinen Persönlichkeitsrechts gem. Art. 2 I GG iVm Art. 1 I GG verletzt ist.
3.
Der Klägerin steht ein Unterlassungsanspruch aus §§ 1004 I S.2, 823 I BGB nicht zu.
Dieser ist zwar nicht durch die umfassenden Regelungen in der DSGVO ausgeschlossen. Die Annahme einer abschließenden Wirkung der DSGVO würde dem Ziel eines effektiven Rechtsschutzes widersprechen. Dies wäre auch nicht mit dem Schutzzweck der DSGVO - nämlich einem umfassenden Schutz der Datenverarbeitung natürlicher Personen - vereinbar.
Zwar schützt §1004 I BGB als quasinegatorischer Anspruch auch absolute Rechte in Form des Allgemeinen Persönlichkeitsrechts und T* war auch Handlungsstörer. Der Anspruch scheitert aber an einer erforderlichen Wiederholungsgefahr, da die Kläger ihren T* Account inzwischen gelöscht hat.
4.
Der Auskunftsanspruch der Klägerin aus Art. 15 I Buchstabe c DSGVO ist nur teilweise begründet.
Im Hinblick auf die begehrte Mitteilung, welche konkreten Daten zu welchem Zeitpunkt abgegriffen worden seien, besteht ein Anspruch.
Ein Anspruch der Klägerin auf Mitteilung der konkreten Empfänger der abgegriffenen Daten besteht jedoch nicht.
Die informationelle Selbstbestimmung ist als Grundrecht dem Verhältnismäßigkeitsgrundsatz unterworfen, die Mitteilung des konkreten Empfängers kann nur dann der Beklagten auferlegt werden, wenn die Identität des konkreten Empfängers feststeht. Der Vortrag der Klägerin ist hierzu unsubstantiiert und es sprechen einige Punkte gegen die Möglichkeit einer Identifizierung, daneben gibt es auch keine Verfahren gegen die Empfänger der Daten, T* hält sich auch nicht an diesen schadlos.
5.
Der Anspruch auf Freistellung von außergerichtlichen Anwaltskosten in Höhe von Euro 360,33 besteht gemäß §§ 286 Abs. 1, 2, 288 Abs. 4, 280 Abs. 1, 249 ff, 257 BGB.
6.
8.
Die Kostenentscheidung folgt aus § 92 I S.1 ZPO nach dem Maß des jeweiligen Obsiegens und Unterliegens.
9.
Sonstiger Langtext
Beschluss
Der Streitwert wird auf 4.500,00 € (Mindestschadensersatz 2.000,00 € + Auskunft 1.000,00 € + Unterlassung 1.000,00 € + Feststellung der künftigen materiellen Ersatzpflicht 500,00 €) festgesetzt, § 3 ZPO, § 63 Abs. 1 GKG.