Rechtsprechung / Landgericht Essen

Landgericht Essen Urteil vom 13.03.2025 – 3 O 36/24

3. Zivilkammer · ECLI:DE:LGE:2025:0313.3O36.24.00

Die Klage wird abgewiesen.

Der Kläger trägt die Kosten des Rechtsstreits.

Das Urteil ist vorläufig vollstreckbar. Der Kläger kann die Vollstreckung durch die Beklagte durch Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in gleicher Höhe leistet.

Tatbestand

Der Kläger macht gegen die Beklagte unter Verweis auf Verstöße gegen die DSGVO Schadensersatzansprüche sowie Ansprüche auf Unterlassung, Auskunft und Feststellung der Ersatzpflicht für künftige materielle Schäden geltend.

Die Beklagte ist eine T. Fluggesellschaft mit Sitz in K.. Sie betreibt eine eigene Webseite, auf der unter anderem Flüge gebucht werden können. Die Seite ist auch auf den deutschen Markt ausgerichtet. Bei einem Zugriff auf A..com aus V. erfolgt automatisch eine Umleitung auf das deutschsprachige Angebot. Die Beklagte unterhält ein freiwilliges Vielfliegerprogramm. Seit dem 00.00.0000 verfügt sie über eine von der zuständigen nationalen Datenschutzkommission erteilte Genehmigung für die die Verarbeitung von personenbezogenen Daten im Rahmen des Vielfliegerprogramms „F.“. Die Teilnahme an diesem Programm ist freiwillig und keine Voraussetzung für die Buchung von Flügen bei der Beklagten.

Der Kläger ist seit dem 00.00.0000 Mitglied des Vielfliegerprogramms der Beklagten „F.“ (W. N01). Er erstellte sich einen Account auf der Webseite der Beklagten und gab dafür persönliche Daten ein. Er hinterlegte seine E-Mail-Adresse Z.. Die Beklagte verarbeitet diese personenbezogenen Daten des Klägers, wobei er seine Zustimmung zu den Nutzungsbedingungen dieses Programms erteilt hat. Der Kläger nutzt seinen Account bei der Beklagten weiterhin und hat seine Einstellungen bisher nicht geändert.

Am 00.00.0000 kam es zu einem Angriff auf das System der Beklagten. Kriminelle Personen verschafften sich unerlaubt Zugriff auf personenbezogene Kundendaten des Vielfliegerprogramms der Beklagten. Die Beklagte wurde von einer sog. „Ransomware“ attackiert, einem Schadprogramm, mit dessen Hilfe Unbefugte den Zugriff des Computerinhabers unter anderem auf eigene Daten durch Verschlüsselung verhindern können. Dies geschieht zumeist mit dem Hintergrund, für die Entschlüsselung ein „Lösegeld“ zu fordern. Die Daten wurden anschließend auch im Dark Web veröffentlicht, wo sie einer unbestimmbaren Vielzahl Unbefugter zur Verfügung stehen.

Nach Mitteilung der Beklagten waren folgende personenbezogenen Daten des Klägers von dem Sicherheitsvorfall betroffen: Anrede, Vor- und Nachname, Geschlecht, Geburtsdatum, Wohnort, E-Mail-Adresse, Handynummer, Datum der Kundenregistrierung, Vielfliegernummer.

Personenbezogene Daten des Klägers wie die E-Mail-Adresse, sein Name und Passwörter waren ausweislich der Internetseite „G.“ bereits - vor der streitgegenständlichen Cyberattacke - im Jahr N02 sowie N03 Gegenstand zweier weiterer Cyberattacken auf den Pdf-Service „H.“ sowie „N.“ (Anlage B6, Bl. 275 ff. d.A.). Der Kläger ist darüber hinaus im Internet aktiv. Er verfügt über ein Profil auf Instagram sowie LinkedIn, nutzte früher auch Facebook, und ist in seinem beruflichen Kotext auf verschiedenen Seiten im Internet mit seinem Namen zu finden. Ferner nutzt er WhatsApp.

Die Beklagte veröffentlichte am 00.00.0000 eine Meldung über den Vorfall auf ihrer Webseite und gab Pressemitteilungen heraus.

Mit anwaltlichen Schreiben der Klägerseite vom 00.00.0000 wurde die Beklagte zur Auskunft, Unterlassung und Zahlung von Schadensersatz aufgefordert (Bl. 30 ff. d.A.). Die Beklagte erteilte mit Schreiben vom 00.00.0000 Auskunft (Bl. 158 ff. d.A.).

Der Kläger behauptet, die Cyberattacke sei aufgrund unzureichender technischer und organisatorischer Maßnahmen zur Sicherung der Verarbeitung personenbezogener Daten erfolgreich gewesen. Darüber hinaus hätte die Beklagte nach dem Auftreten des Datenlecks viel dafür getan, den Datenklau zu leugnen. Damit habe sie es den Betroffenen im Nachgang erheblich erschwert, für die Sicherheit der eigenen Daten zu sorgen. Unter den betroffenen Daten hätten sich äußerst sensible Daten befunden, die bei Flugbuchungen angegeben werden müssen und deren Missbrauch schwerwiegende Auswirkungen haben können, darunter unter anderem Namen, Telefon- und Ausweisnummer, Geburtsdaten, Geschlechter, Adressen, gesprochene Sprachen, Mail-Adressen und Anreden.

Der Kläger behauptet konkret - unter Bezugnahme der Eingabe seiner E-Mail-Adresse auf der Internetseite „G.“ - von dem Datenleck betroffen zu sein. Ausweislich des Betroffenheitsnachweises sei er mindestens mit seiner E-Mail-Adresse Z. von dem Datenleck bei der Beklagten betroffen.

Infolge dieses Vorfalls sei es auch zu sog. Phishing-Versuchen gekommen, bei denen Unbefugte die Betroffenen verleiten würden, auf einen Betrug hereinzufallen. Im Falle dieses Datenlecks seien Fake-E-Mails an betroffene L.-Passagiere versendet worden, um durch einen Betrugsversuch hochsensible Daten wie Online-Banking-Zugänge zu erhalten. Diese Betrugsversuche seien für die Betroffenen auch grundsätzlich glaubhaft, da sie zuvor aufgrund der Flugbuchung/Accounterstellung bereits in Kontakt mit der Beklagten standen. Die Gefahr, auf einen derartigen Betrugsversuch „hereinzufallen“ sei ungleich größer als bei üblichem Phishing, da es relevante Anknüpfungspunkte für den Wahrheitsgehalt einer solchen E-Mail gebe. Der Verlust der Datenkontrolle sowie deren Weitergabe an unbefugte Dritte habe weitreichende Folgen. Die Verknüpfung und nachgelagerte Veröffentlichung von personenbezogenen Daten öffne dem Missbrauch Tür und Tor. Zu denken sei an Identitätsdiebstahl, die Übernahme von Accounts aufgrund der „Zwei-Faktor-Authentifizierung“ sowie gezielter Phishing-Nachrichten, zudem Werbeanrufe und Werbemails, kurzum ein erhöhtes SPAM-Aufkommen.

Der Kläger habe einen Kontrollverlust über seine Daten erlitten. Er sei nach Bekanntwerden dieses Datenlecks in einem Zustand von Unwohlsein und Sorge über möglichen Missbrauch seiner Daten verblieben, insbesondere unter Berücksichtigung der vielfältigen Missbrauchsmöglichkeiten. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen gegenüber E-Mails und Anrufen.

Weiter behauptet der Kläger, in der Zeit nach Auftreten des Datenlecks habe es bei ihm unbekannte Kontaktversuche per SMS, Anruf oder Mail wie beispielsweise Spammails, Spamnachrichten, Anrufe aus dem Ausland auf die bei dem Angebot der Beklagten hinterlegten Kontaktmöglichkeiten gegeben. Zusätzlich habe es weitergehende Auffälligkeiten gegeben, die im Zusammenhang mit den persönlichen Daten aufgetreten seien, wie beispielsweise sonstige Betrugsversuche, Kreditkartenmissbrauch etc. Erschwerend komme dabei hinzu, dass die betroffenen Kontaktmöglichkeiten (E-Mail-Adresse bzw. Mobilfunknummer) nach wie vor von dem Kläger genutzt würden. Seit dem Bekanntwerden des Datenlecks bei der Beklagten verspüre der Kläger insbesondere in Bezug auf eingehende E-Mails bzw. bei Anrufen/Benachrichtigungen von unbekannten Nummern oder Adressen ein verstärktes Misstrauen. Er verspüre einen erheblichen Kontrollverlust über seine persönlichen und sensiblen Daten. Er empfinde ein großes Unwohlsein und Sorge über einen möglichen Datenmissbrauch, wenn ein solcher nicht sogar in der Zwischenzeit bereits erfolgt sei.

Der Kläger beantragt,

die Beklagte zu verurteilen, an den Kläger als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Erlangung persönlicher Daten einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 3.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz der EZB zu zahlen;

die Beklagte zu verurteilen, an den Kläger für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz der EZB zu zahlen;

festzustellen, dass die Beklagte verpflichtet ist, dem Kläger alle materiellen künftigen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten entstanden sind und/oder noch entstehen werden;

die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft, oder einer an ihrem Vertreter zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten des Klägers Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen;

die Beklagte zu verurteilen, dem Kläger Auskunft über personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, insbesondere welche Daten durch welche Empfänger zu welchem Zeitpunkt auf welche Art und Weise und aufgrund welcher Sicherheitslücke, soweit vorhanden, bei der Beklagten oder Partnerunternehmen, an die die Beklagte die Daten weitergeleitet hat, unbefugt erlangt werden konnten.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte behauptet, den Angreifern sei der Zugriff auf die C. Datenbank oder deren System selbst nicht gelungen. Sie hätten während der Übermittlung von personenbezogenen Daten von dem C. System zu einem Kundeninformationssystem in der Schnittstelle Zugriff auf einige dieser Daten erlangt. Daher sei nicht auf umfassende Kundendatenbanken zugegriffen worden, sondern nur auf vereinzelte Daten der Kunden. Der Angriff sei von dem 24/7 tätigen IT-Team der Beklagten entdeckt worden, die Notfallpläne der Beklagten seien unverzüglich in Gang gesetzt worden und hätten gegriffen. Da die Beklagte über Back-up-Systeme verfüge, seien die betroffenen Daten unverzüglich wiederherstellt worden. Einige Stunden nach Entdeckung des Vorfalls sei dieser gestoppt worden. Der Eintritt in das System der Beklagten sei durch den Diebstahl von Zugangsdaten zu dem Druckersystem eines Providers erfolgt. Von einer „Sicherheitslücke“ könne daher nicht gesprochen werden. Diese Eintrittsstelle sei unverzüglich geschlossen worden. Zudem sei unverzüglich eine entsprechende Meldung des Vorfalls an die zuständige Behörde erfolgt.

Entgegen des klägerischen Vortrags seien keine sensiblen Daten betroffen, insbesondere nicht die Ausweisnummer, Festnetznummer, vollständige Postanschrift, inkl. Straßennamen und Hausnummer, Staatsangehörigkeit und gesprochene Sprachen, also die Sprache, die der Kunde zur Kommunikation auswählt. Ferner seien weder Passwörter oder Bankdaten noch ähnliche sensible Daten betroffen.

Im Übrigen würden die tatsächlich betroffenen Daten heutzutage regelmäßig freiwillig im Internet preisgegeben und im Rahmen von unzähligen Prozessen verarbeitet, z.B. beim Online-Shopping, um einen Flug zu buchen oder um auf Social-Media-Plattformen, wie Facebook oder WhatsApp, aktiv zu sein. Die Beklagte behauptet, die Internetaktivität des Klägers habe bereits dazu geführt, dass ein möglicher Kontrollverlust über seine personenbezogenen Daten längst durch eigene Handlungen eingetreten sei.

Die Beklagte ist der Ansicht, die klägerischen Behauptungen seien nicht konkretisiert, sondern allgemein und unsubstantiiert. Der Umstand, dass die Beklagte Opfer eines kriminellen Angriffs wurde und die Kriminellen Zugriff auf personenbezogene Kundendaten erlangten, beweise zudem nicht, dass es auf Seiten der Beklagten zu Versäumnissen gekommen sei. Einen hundertprozentigen Schutz gegen kriminelle Aktivitäten gebe es nicht. Das C.-Programm sei durch ausreichende technische und organisatorische Maßnahmen geschützt.

Die Beklagte bestreitet, dass dem Kläger ein Schaden entstanden ist.

Ferner ist die Beklagte der Ansicht, die Klageanträge 1), 2) und 3) seien bereits mangels hinreichender Bestimmtheit i.S.v. § 253 Abs. 2 Nr. 2 ZPO unzulässig. Ferner fehle hinsichtlich des Feststellungsantrags das Feststellungsinteresse. Auch der Unterlassungsantrag zu Ziffer 4) sei mangels Bestimmtheit unzulässig. Hinsichtlich des geltend gemachten Auskunftsanspruchs habe die Beklagte das Auskunftsbegehren nach Art. 15 DSGVO bereits vor Klageerhebung erfüllt. Darüber hinaus bestehe kein Rechtsschutzbedürfnis. Ferner sei auch dieser mangels hinreichender Bestimmtheit unzulässig, § 253 Abs. 2 Nr. 2 ZPO.

Wegen des weiteren Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze und das Protokoll der mündlichen Verhandlung vom 00.00.0000 verwiesen. Die Kammer hat den Kläger im Termin persönlich angehört. Insoweit wird auf das Protokoll der mündlichen Verhandlung vom 00.00.0000 Bezug genommen (Bl. 319 ff. d.A.).

Entscheidungsgründe

Die Klage ist zum Teil unzulässig, im Übrigen unbegründet.

I.

1.

Das Landgericht ist international, sachlich und örtlich zuständig.

Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1, 2. Alt. EuGVVO.

Gemäß Art. 1 Abs. 1 EuGVVO ist die EuGVVO sachlich anwendbar auf Zivil- und Handelssachen. Vorliegend handelt es sich um eine Zivilsache.

Die deutsche Gerichtsbarkeit folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1, 2. Alt EuGVVO. Gemäß Art. 18 Abs. 1 2. Alt EuGVVO kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat. Der Kläger ist gemäß Art. 17 Abs. 1 EuGVVO Verbraucher. Der Kläger ist seit dem 00.00.0000 Mitglied des Vielfliegerprogramms der Beklagten „F.“. Er hat seinen Wohnort in E./V..

Die internationale Zuständigkeit deutscher Gerichte ergibt sich ferner aus Art. 79 Abs. 2 DSGVO. Danach können Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeitenden bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeitenen um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Gemäß Art. 4 Nr. 7, 8 DSGVO sind Verantwortliche natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Auftragsverarbeitende sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Unstreitig ist die Beklagte Verantwortliche i.S. der oben genannten Vorschriften.

Das Landgericht P. ist jedenfalls gemäß rügeloser Einlassung der Beklagten sachlich zuständig.

Die örtliche Zuständigkeit des Landgerichts P. ergibt sich aus Art. 18 Abs. 1, 2. Alt. EuGVVO. Danach kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat. Der Kläger hat seinen Wohnsitz in E. und damit im Bezirk des angerufenen Gerichts. Das Landgericht P. ist unabhängig davon nach Art. 79 Abs. 2 S. 2 DSGVO, § 44 Abs. 1 S. 2 BDSG örtlich zuständig (besonderer Gerichtsstand).

2.

Der Zulässigkeit der Klage steht nicht die Unbestimmtheit des Klageantrags zu 1) (§ 253 Abs. 2 ZPO) entgegen. Da die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Ein Verstoß gegen den in § 253 Abs. 2 Nr. 2 ZPO normierten Bestimmtheitsgrundsatz liegt dann nicht vor, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 ZPO oder vom billigen Ermessen des Gerichts abhängig ist. Die nötige Bestimmtheit soll hier dadurch erreicht werden, dass der Kläger in der Klagebegründung die Berechnungs-bzw. Schätzgrundlagen umfassend darzulegen und die Größenordnung seiner Vorstellungen anzugeben hat (vgl. Greger in: Zöller, 35. Aufl. 2024, § 253 ZPO Rn. 14). Diese Voraussetzungen liegen hier vor. Der Kläger hat sowohl in der Klagebegründung als auch bereits in dem Klageantrag zu 1) einen Mindestbetrag angegeben. Gleiches gilt für den Klageantrag zu Ziffer 2).

3. Der Feststellungsantrag zu Ziffer 3) ist unzulässig.

Diesem Antrag fehlt bereits die notwendige Bestimmtheit i.S.v. § 253 Abs. 2 Nr. 2 ZPO. Die von dem Kläger verwendeten Begriffe „Datenarchiv“ und „unbefugter Zugriff Dritter“ sind weder bestimmt noch bestimmbar. Sie stellen unbestimmte Rechtsbegriffe dar, die eine Subsumtion erfordern (vgl. OLG Frankfurt, Urteil vom 30.03.2023, Az.: 16 U 22/22). Ebenso wenig ist klar, welche Schäden von diesem Feststellungsantrag umfasst werden sollen. Zwar werden die Schäden einerseits mit „künftig“ bezeichnet, andererseits wird das Verb am Ende des Satzes ins Perfekt gesetzt („entstanden sind“). Soweit Schäden entstanden sind, wären diese vom Kläger mit der Leistungsklage geltend zu machen (so auch LG Frankfurt, Az.: 2-12 O 170/23, Bl. 162 ff. d.A.).

Hinsichtlich des Feststellungsantrags fehlt es zudem am erforderlichen Feststellungsinteresse (§ 256 ZPO). Erforderlich hierfür ist das Vorliegen der Möglichkeit zukünftiger materieller Schäden (BGH, NJW 2021, 3130; OLG Hamm, Urt. vom 15.08.2023, Az.: 7 U 19/23). Demensprechend ist das Feststellungsinteresse zu verneinen, wenn bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines solchen Schadens wenigstens zu rechnen (OLG Hamm a.a.O., juris Rn 208 ff. m.w.N.). Ein solcher Schaden ist vor dem Hintergrund, dass der Kläger offenbar bisher kein konkreter materieller oder immaterieller Schaden entstanden ist und dementsprechend hierzu auch jegliche konkreten Darlegungen fehlen, rein theoretischer Natur, zumal die Cyberattacke selbst bereits mehrere Jahre zurückliegt. Da mit einem Schadenseintritt also nicht zu rechnen ist, fehlt es am Feststellungsinteresse (vgl. OLG Hamm a.a.O.).

4.

Der Unterlassungsantrag zu Ziffer 4) ist unzulässig.

Der Kläger begehrt, dass die Beklagte es unterlasse, personenbezogene Daten des Klägers Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen.

Dieser Unterlassungsantrag ist i.S.v. § 253 Abs. Nr. 2 ZPO nicht hinreichend bestimmt. Ein Unterlassungsanspruch ist i.d.R. bestimmt genug, wenn auf die konkrete Verletzungshandlung Bezug genommen wird oder wenn der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, worin das Unterlassungsgebot liegen soll, also welches Verhalten Seitens des Beklagten Anknüpfungspunkt für die Annahme eines Rechtsverstoßes sein soll. Der Beklagten und dem Vollstreckungsgericht muss klar sein, was genau der Beklagten verboten ist. Die Formulierung im Unterlassungsantrag „die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen“ ist an den Gesetzeswortlaut des Art. 32 Abs. 1 DSGVO angelehnt, der von „unter Berücksichtigung des Stands der Technik (...) geeigneten technischen und organisatorischen Maßnahmen“ spricht. Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen, sind grundsätzlich als zu unbestimmt und damit als unzulässig anzusehen (vgl. BGH, GRUR 2024, 1910 Rn. 54, beck-online). Zudem sind Formulierungen wie „Dritte“ oder „nach den Stand der Technik mögliche Sicherheitsmaßnahmen“ auslegungsbedürftig. Dem Kläger wäre es durchaus zumutbar gewesen, zu konkretisieren, wen er unter „Dritte“ versteht, indem er die konkrete Verletzungshandlung näher definiert (so auch LG Augsburg, Az.: 125 O 1155/24, Bl. 282 ff. d.A.).

Zudem handelt sich bei dem Klageantrag zu Ziffer 4) um eine verdeckte Leistungsklage. Der Antrag enthält ein mit der Androhung nach § 890 Abs. 2 ZPO unzulässiges Antragsbegehren. Die Titulierung einer Unterlassungsverpflichtung kann - auch unter Berücksichtigung der Grundsätze der Effektivität und Äquivalenz - eine gleichfalls nach § 890 ZPO vollstreckbare Verpflichtung zur Handlung nur beinhalten, wenn der Schuldner der Pflicht zur Unterlassung ausschließlich genügen kann, indem er die hierfür erforderliche positive Handlung vornimmt. Ob ein Titel Handlungspflichten auferlegt oder Unterlassung fordert, ist im Wege der Auslegung mit Blick auf den Schwerpunkt der jeweils in Rede stehenden Verpflichtung zu beurteilen (vgl. BGH, Beschluss vom 09.07.N03 - I ZB 79/19, WM N03, 1826, Rn. 20). Unter Beachtung dessen ist der Schwerpunkt in einem aktiven Tun zu sehen, das nicht nach § 890 ZPO, sondern als vertretbare Handlung nach § 887 ZPO zu vollstrecken wäre. Der Kläger begehrt nämlich kein Unterlassen, sondern zukünftig technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten zu implementieren; der Schwerpunkt des klägerischen Begehrens liegt darin, dass die Beklagte Änderungen bei der Programmierung vornehmen soll.

II.

Im Übrigen ist die Klage unbegründet.

Der Kläger hat gegen die Beklagte unter keinem rechtlichen Gesichtspunkt Ansprüche auf immateriellen Schadensersatz oder Auskunft.

1.

Der Kläger hat gegen die Beklagte keinen Anspruch auf immateriellen Schadenersatz in der geltend gemachten Höhe von 3.000 EUR.

Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Schadensersatzanspruch setzt folglich einen Verstoß gegen die DSGVO, einen Schaden und die Kausalität zwischen Verstoß und Schaden voraus. Die Darlegungs- und Beweislast für die Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines (immateriellen) Schadens verlangt (vgl. z.B. BGH, Urteil vom 18.11.2024, Az.: VI ZR 10/24, Rn. 21), vorliegend also den Kläger.

Es kann im Ergebnis dahinstehen, ob der Beklagten Verstöße gegen die Bestimmungen der DSGVO anzulasten sind. Denn hinsichtlich des geltend gemachten Schadensersatzanspruchs hat der Kläger sowohl die Kausalität der behaupteten Pflichtverletzungen für den behaupteten Schadenseintritt als auch einen konkreten Schaden an sich nicht hinreichend dargelegt und zur Überzeugung des Gerichts bewiesen.

a)

Nach Mitteilung der Beklagten waren die folgenden personenbezogenen Daten des Klägers von dem Sicherheitsvorfall betroffen: Anrede, Vor- und Nachname, Geschlecht, Geburtsdatum, Wohnort, E-Mail-Adresse, Handynummer, Datum der Kundenregistrierung, Vielfliegernummer.

Der Kläger behauptet einzig konkret unter Bezugnahme der Eingabe seiner E-Mail-Adresse auf der Internetseite „G.“, er sei mindestens mit seiner E-Mail-Adresse Z. von dem Datenleck bei der Beklagten betroffen.

Im Übrigen fehlt jegliche Bezugnahme auf die betroffenen Daten des Klägers. Insoweit wäre der Kläger aus Sicht der Kammer gehalten gewesen, die weiteren betroffenen Daten konkret zu benennen. Dies wäre ihm, so z.B. bei der von ihm hinterlegten Handynummer, auch ohne größeren Aufwand möglich gewesen. Der klägerische Vortrag ist in weiten Teilen sehr allgemein gefasst und weist wenig Bezug zu seiner konkreten Situation auf, was angesichts des Umstands, dass die Prozessbevollmächtigten des Klägers neben ihm auch viele weitere Klageparteien mit ähnlichen Klagebegehren vertreten, nicht verwundert. Dennoch ist auch in solchen „Masseverfahren“ ein konkreter, auf die jeweilige Klagepartei zugeschnittener Vortrag zu fordern. Nicht ausreichend ist daher, lediglich allgemein vorzutragen, dass die personenbezogenen Daten des Klägers betroffen sind. Denn dieser Vortrag lässt zur Frage der individuellen Betroffenheit des Klägers    noch keine Rückschlüsse zu. Dies gilt gleichfalls für die klägerische Behauptung, unter den betroffenen Daten hätten sich weitere äußerst sensible Daten befunden, darunter unter anderem Ausweisnummer, Adressen, gesprochene Sprachen und Anreden. Auch dieser Vortrag ist aus Sicht der Kammer nicht hinreichend konkret.

b)

Materielle Schäden macht der Kläger nicht geltend, sondern den Kontrollverlust über seine Daten sowie ein Gefühl des Unwohlseins und Sorge über möglichen Missbrauch seiner Daten.

Ein Anspruch nach Art. 82 Abs. 1, Abs. 2 S. 1 DSGVO setzt zwar (auch) bei immateriellen Schäden nicht voraus, dass ein bestimmter Grad der Erheblichkeit erreicht ist (vgl. EuGH, Urteil vom 04.05.2023, Az.: C-300/21, NJW 2023, 1930, Rn. 43 ff; OLG Hamm, Urteil vom 20.01.2023, Az.: 11 U 88/22, juris, Rn. 11 ff.). Das Fehlen einer Erheblichkeitsschwelle bedeutet aber nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen.

Bei persönlichen bzw. psychologischen Beeinträchtigungen handelt es sich, soweit - wie hier - keine krankhaften Störungen behauptet werden, um innere Vorgänge. Auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen kann nur mittelbar aus in der Regel auf äußeren Tatsachen basierenden Indizien geschlossen werden (vgl. OLG Hamm, Urteil vom 15.08.2023, Az.: 7 U 19/23, juris, Rn. 164). Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat (vgl. OLG Hamm, Urteil vom 15.08.2023 - Az.: 7 U 19/23, juris, Rn. 165). Soweit der immaterielle Schaden und seine Verursachung durch einen Datenschutzverstoß streitig sind, gilt - da dies die Frage des Eintritts eines (Primär-)Schadens als solchen und die haftungsbegründende Kausalität betrifft - das Beweismaß des § 286 ZPO (vgl. OLG Hamm, Urteil vom 15.08.2023, Az.: 7 U 19/23, juris, Rn. 179 und 186).

Soweit der bloße Verlust der Kontrolle über die Daten zur Begründung eines ersatzfähigen Schadens nach einer Entscheidung des EuGH vom 14.12.2023 (Az. C-340/21, vgl. OLG Hamm, Urt. v. 21.06.2024 - Az. 7 U 154/23) und zuletzt durch die Entscheidung des BGH vom 18.11.2024 (Az. VI ZR 10/24) ausreichend sein sollte, hat der Kläger aus Sicht des Gerichts gerade nicht dargelegt, dass dieser durch den hier streitgegenständlichen Vorfall eingetreten und somit kausal auf diesen zurückzuführen ist.

Wie bereits dem Wortlaut des Begriffs „Kontrollverlust" zu entnehmen ist, setzt dieser voraus, dass der Betroffene zunächst die Kontrolle über das konkrete personenbezogene Datum - der Gerichtshof spricht insoweit von Datenhoheit (EuGH, Urt. v. 14.12.2023 - C-456/22, GRUR-RS 2023, 35767 Rn. 22) - hatte und diese Kontrolle später gegen seinen Willen durch den streitgegenständlichen Datenschutzverstoß verloren hat. Dabei muss der potentiell Geschädigte darlegen, dass er die Hoheit über die Daten nicht schon zuvor verloren hatte. Dies gilt jedenfalls bei Daten, bei denen es sich - wie etwa bei dem Namen, dem jedenfalls im europäischen Kulturkreis fast immer aus dem Vornamen ableitbaren Geschlecht und der Telefonnummer - nicht um ein per se sensibles oder der Geheimhaltung unterliegendes personenbezogenes Datum handelt, sondern im Gegenteil um ein Identifizierungsmerkmal. Im Hinblick auf die Telefonnummer ist dabei von Bedeutung, dass es sich um ein solches Datum handelt, das nach seiner Zweckbestimmung dem Betroffenen ermöglichen soll, in Kontakt mit anderen, identifizierbaren Personen zu treten und das daher im täglichen Leben auch solchen anderen Personen oft in großem Umfang zugänglich gemacht wird. In solchen Fällen ist der Betroffene gehalten, dazu vorzutragen, wie er im privaten, geschäftlichen und/oder beruflichen Umfeld mit diesen Daten vor dem Vorfall umgegangen ist, ob und unter welchen Bedingungen er sie an wen weitergegeben hat und dass insofern durch die Veröffentlichung nach dem Vorfall tatsächlich ein Verlust der zuvor über diese Daten durch ihn noch ausgeübten Kontrolle eingetreten ist (vgl. OLG Köln, Urt. vom 7.12.2023, I-15 U 33/23, GRUR-RS 2023, 36757 = juris Rn. 37; OLG Hamm, Urt. vom 18.12.2024, I-11 U 168/23).

Zwar hat der Kläger im Rahmen seiner persönlichen Anhörung angegeben, die E-Mail-Adresse Z. regelmäßig für offiziellere Angelegenheiten der Kommunikation, etwa auf Webseiten wie Booking.com oder bei anderen Webseiten zu Reisebuchungen und Bezahlvorgängen, genutzt zu haben. Ausweislich der Internetseite „G.“, die auch von der Klägerseite zur Darlegung der behaupteten Betroffenheit herangezogen wird, war diese E-Mail-Adresse aber bereits - vor der streitgegenständlichen Cyberattacke - im Jahr N02 sowie N03 Gegenstand zweier weiterer Cyberattacken auf den Pdf-Service „H.“ sowie „N.“ (Anlage B6, Bl. 275 ff. d.A.). Diese Cyberattacken betrafen personenbezogene Daten des Klägers wie die E-Mail-Adresse, seinen Namen und Passwörter. Vor diesem Hintergrund vermag die Kammer nicht festzustellen, dass der Kläger die Kontrolle über die genannten Daten, insbesondere seine E-Mail-Adresse, nicht schon vor der streitgegenständlichen Cyberattacke am 00.00.0000 verloren hat.

Der Kläger ist darüber hinaus im Internet aktiv. Er verfügt über ein Profil auf Instagram sowie LinkedIn, nutzte früher auch Facebook, und ist in seinem beruflichen Kotext auf verschiedenen Seiten im Internet mit seinem Namen zu finden. Ferner nutzt er WhatsApp. Insoweit hat er seine personenbezogenen Daten in nicht überschaubaren Maße öffentlich zugänglich gemacht.

Im Übrigen sind die nicht in den früheren Kontrollverlusten angegebenen Daten, nämlich Anrede, Vielfliegernummer und Datum der Registrierung, in den klägerischen Schriftsätzen nicht problematisiert worden, jedenfalls ist hierdurch keine Schadensvertiefung zu erkennen.

Auch im Übrigen vermochte die Kammer einen kausalen Schaden nicht mit der erforderlichen Sicherheit festzustellen.

Denn auch nach der persönlichen Anhörung des Klägers hat sich zur Überzeugung des Gerichts eine persönliche oder psychologische Betroffenheit nicht bestätigt. Soweit schriftsätzlich eine Unsicherheit und Angst hinsichtlich der klägerischen Daten vorgetragen wurde, hat der Kläger im Rahmen seiner persönlichen Anhörung allenfalls von einer „Störung im Alltag“ gesprochen und eine gewisse Belastung durch den Anfall von Spam-Nachrichten geschildert. Auch ein Ärger, dass er beinahe auf einen betrügerischen Link in einer SMS geklickt habe, war erkennbar. Dennoch ist er - wie dargestellt - in großem Umfang auf verschiedenen sozialen Plattformen und im Internet aktiv. Dies lässt sich für die Kammer indes nicht stimmig mit den behaupteten Ängsten in Einklang bringen. Im Übrigen stellt die angegebene Unsicherheit hinsichtlich der eigenen Daten im Internet keinen Schaden dar. Denn es entspricht einem gesunden Misstrauen, das in der digitalen Welt auf Grund ihres hohen Maßes an Unwirklichkeit notwendig ist, um weder süchtig noch manipuliert zu werden.

2.

Aus den gleichen Gründen besteht auch kein Anspruch auf Ersatz weiterer immaterieller Schäden. Hinzu kommt, dass nicht ersichtlich ist, wie allein aus dem Umstand der Nichterfüllung einer Auskunft ein immaterieller Schaden entstehen kann.

3.

Ein Anspruch auf immateriellen Schadensersatz kommt auch nicht nach anderen nationalen Vorschriften in Betracht. Selbst wenn die DSGVO gegenüber nationalen Vorschriften keine Sperrwirkung entfalten sollte, fehlt es für andere Schadensersatzansprüche ebenfalls an der Kausalität zwischen der möglichen Pflichtverletzung/einem Verstoß der Beklagten und dem behaupteten Schaden (s.o.).

4.

Schließlich hat der Kläger gegen die Beklagte keinen weiteren Auskunftsanspruch gemäß Art. 15 DSGVO.

Soweit der Anspruch besteht, ist er erfüllt (§ 362 BGB). Die Beklagte hat im Rahmen der außergerichtlichen Korrespondenz die geforderten Auskünfte mit Schreiben vom 00.00.0000 (Bl. 158 ff. d.A.) erteilt, soweit es ihr überhaupt möglich war. Zudem ist zu berücksichtigen, dass ein Auskunftsanspruch grundsätzlich dann erfüllt ist, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Umfang darstellen soll. Das ist vorliegend der Fall, denn das vorgenannte Schreiben soll erkennbar das gestellte Auskunftsbegehren abdecken.

5.

Mangels Anspruchs in der Hauptsache besteht auch kein Anspruch auf Zahlung von Rechtshängigkeitszinsen gemäß § 291 ZPO.

6.

Die Entscheidungen über die Kosten und die vorläufige Vollstreckbarkeit ergeben sich aus §§ 91 Abs. 1, 708 Nr. 11, 711 ZPO.