Gesetze / Rechtsprechung / Oberlandesgericht Hamm

Oberlandesgericht Hamm Urteil vom 09.03.2026 – 8 U 21/25

8. Zivilsenat · ECLI:DE:OLGHAM:2026:0309.8U21.25.00

Gründe:

A.

Die Beklagte betreibt u.a. das soziale Netzwerk Instagram, das die Klägerin nutzt. Die Klägerin nimmt die Beklagte auf Auskunft und auf Löschung von Daten in Anspruch. Außerdem begehrt sie von der Beklagten Schadensersatz wegen angeblicher Verstöße gegen die DSGVO durch Verwendung der sog. Meta Business-Tools.

Wegen des Vorbringens und der Anträge erster Instanz wird gemäß § 540 Abs. 1 S. 1 ZPO auf den Inhalt des angefochtenen Urteils verwiesen.

Das Landgericht hat der Klage weitgehend stattgegeben. Es hat die Beklagte zur Auskunftserteilung und zur Löschung/Anonymisierung personenbezogener Daten der Klägerin verurteilt, außerdem zur Zahlung immateriellen Schadensersatzes von 1.500,00 € nebst Zinsen und zur Freistellung von vorgerichtlichen Rechtsanwaltskosten. Die weitergehende Klage hat es abgewiesen. Auf die Begründung des angegriffenen Urteils wird verwiesen.

Mit der dagegen gerichteten Berufung verfolgt die Beklagte ihren Klageabweisungsantrag weiter. Sie rügt insbesondere Folgendes:

Die Klägerin habe während des gesamten Verfahrens unzulässigerweise versucht, sich selbst der grundlegendsten Darlegungs- und Beweislast zu entziehen, nach der sie substantiiert hätte darlegen und beweisen müssen, dass die Beklagte tatsächlich ihre personenbezogenen Daten verarbeite. Das Landgericht habe fehlerhaft angenommen, dass die Ausführungen der Klägerin hinreichend substantiiert seien. „Einzelne, konkrete Datenverarbeitungsvorgänge“, die die Klägerin ausdrücklich nicht beanstande, seien Voraussetzung für die Erhebung einer zivilprozessualen Klage unter Berufung auf einen Verstoß gegen die DSGVO. Die Klägerin habe den Nachweis versäumt, ob sie, die Beklagte, tatsächlich ihre Daten über die Meta Business-Tools erhalten oder verarbeitet habe und, sofern dies der Fall wäre, wie eine solche Verarbeitung unrechtmäßig sein könnte und wie die Klägerin durch eine solche Verarbeitung beeinträchtigt sein würde.

Die Klägerin habe nicht hinreichend substantiiert, inwiefern sie von der von ihr beanstandeten Datenverarbeitung individuell betroffen sei. Es fehle an konkretem Vortrag dazu, welche Daten der Klägerin die Beklagte angeblich verarbeitet habe, von welchen Websites oder Apps diese stammten und wann dies geschehen sei. Die Beklagte treffe keine sekundäre Darlegungslast.

Selbst wenn die Behauptungen der Klägerin unbestritten wären, stützten sie die Klageanträge nicht. Sie ließen das Gericht im Unklaren darüber, was die Beklagte zu löschen, zu anonymisieren oder von der Verarbeitung zu unterlassen habe und auf welcher Grundlage der Schadenersatz zu berechnen sei.

Die Beklagte führe keine rechtswidrige Verarbeitung von Meta Business-Tools-Daten zur Bereitstellung personalisierter Werbung durch. Sie stütze sich für die Verarbeitung der über die Meta Business-Tools erhaltenen Nutzerdaten auf die Rechtsgrundlage der vertraglichen Notwendigkeit („Erfüllung eines Vertrages“).

Für Nutzer, die „Meta-Cookies auf anderen Apps und Websites“ nicht ausdrücklich zuließen, verwende sie, die Beklagte, die über Cookies und ähnliche Technologien auf anderen Apps und Webseiten gesammelten Daten nur zu Sicherheits- und Integritätszwecken. Die Verarbeitung von Meta Business-Tools-Daten zu Sicherheits- und Integritätszwecken basiere auf der wichtigen Aufgabe, die Sicherheit der Nutzer zu gewährleisten und die Datenschutzrichtlinien einzuhalten.

Das Landgericht habe zudem fehlerhaft angenommen, die Klägerin habe mit der Klageerhebung ihre Einwilligung in die Verarbeitung von Meta Business-Tools Daten zur Bereitstellung personalisierter Werbung widerrufen. Ferner habe das Landgericht dem Auskunftsantrag gemäß Art. 15 DSGVO rechtsfehlerhaft stattgegeben. Diesen Anspruch habe die Beklagte bereits durch ihr außergerichtliches Schreiben vom 3. Juli 2024 erfüllt.

Das Landgericht habe dem Löschungs- und Anonymisierungsantrag rechtsfehlerhaft stattgegeben. Dieser sei schon als unzulässig abzuweisen, weil er zu unbestimmt sei und die erforderliche Voraussetzung einer „Besorgnis nicht rechtzeitiger Leistung“ gemäß § 259 ZPO fehle. In der Sache rechtfertige der angebliche Widerruf der Einwilligung den Löschungs- und Anonymisierungsantrag nicht.

Das Landgericht habe rechtsfehlerhaft angenommen, dass die Klägerin einen Anspruch auf Schadenersatz gemäß Art. 82 DSGVO habe. Eine Entschädigung stehe der Klägerin nicht zu. Aufgrund der völlig unterschiedlichen tatsächlichen und rechtlichen Umstände sei das Landgericht zu Unrecht der Annahme gewesen, dass die Feststellungen des BGH in der Scraping-Entscheidung hier anwendbar seien. Unabhängig davon habe die Klägerin keinen Kontrollverlust erlitten. Bereits ihr Vortrag genüge nicht den Anforderungen, da er sich lediglich in abstrakten, verallgemeinerten Behauptungen erschöpfe. Das Landgericht habe auch übersehen, dass die bloß hypothetische Befürchtung des Missbrauchs von Daten keinen Kontrollverlust im Sinne der Rechtsprechung des Bundesgerichtshofes darstelle.

Der Antrag auf Freistellung von vorprozessualen Anwaltskosten sei abzuweisen, u.a. deshalb, weil die Klägerin rechtsschutzversichert sei.

Die Beklagte beantragt,

das Urteil des Landgerichts Münster vom 29. Januar 2025 abzuändern, soweit der Klage stattgegeben wurde, und die Klage insgesamt abzuweisen.

Die Klägerin beantragt,

die Berufung zurückzuweisen.

Die Klägerin verteidigt das angefochtene Urteil unter Wiederholung und Vertiefung ihres erstinstanzlichen Vorbringens.

Der Senat hat die Klägerin und die Parteivertreter im Senatstermin vom 09.03.2026 ergänzend angehört. Die Klägerin hat bzgl. des Klageantrags zu 2 auf den Passus „nach vollständiger Auskunftserteilung gem. des Antrags zu 1“ verzichtet, die Beklagte hat aber nicht den Erlass eines Teil-Verzichtsurteils beantragt. Wegen des weiteren Inhalts der Verhandlung wird auf die Sitzungsniederschrift vom 09.03.2026 Bezug genommen.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt des angefochtenen Urteils sowie der gewechselten Schriftsätze nebst Anlagen verwiesen.

B.

Die Berufung der Beklagten hat nur in geringem Umfang Erfolg, denn sie ist zulässig, aber überwiegend unbegründet.

I. Entscheidung durch streitiges Urteil

Der Senat entscheidet über die Berufung der Beklagten insgesamt durch streitiges Endurteil und nicht durch Teil-Verzichts- und Teil-Schlussurteil, weil die prozessualen Voraussetzungen für einen wirksamen Teil-Verzicht der Klägerin nach § 306 ZPO nicht vorliegen. Zwar wäre es insoweit unschädlich, dass die Beklagte nicht ausdrücklich den Erlass eines Teil-Verzichtsurteils beantragt hat, denn der mit dem Berufungsantrag gestellte Klageabweisungsantrag hätte insoweit ausgereicht. Die Beklagte hat an sich keinen Anspruch auf Erlass eines Sachurteils, nachdem die Klägerin einen Teilverzicht betreffend den Antrag zu 2 erklärt hat, der Gegenstand des Berufungsverfahrens ist, sondern wäre grundsätzlich darauf beschränkt, die Abweisung insoweit allein aufgrund des Verzichts zu beantragen. Wegen der Tragweite eines (Teil-)Verzichtsurteils hat die Beklagte nämlich grundsätzlich kein Rechtsschutzinteresse an einer Entscheidung, durch die die Klage aufgrund sachlicher Prüfung abgewiesen wird (vgl. BGH, Urteil vom 11.12.1979, X ZR 49/74, BGHZ 76, 50, juris Rn. 22).

Mit der Erklärung der Klägerin, hinsichtlich des Klageantrags zu 2 auf den Passus „nach vollständiger Auskunftserteilung gem. des Antrags zu 1.“ zu verzichten, liegt indes kein wirksamer Verzicht auf einen abtrennbaren Teil des prozessualen Anspruchs vor. Der Teil einer Klage, auf den gemäß § 306 ZPO verzichtet werden kann, muss einen eigenen, selbständigen und abtrennbaren Teil des Streitgegenstandes darstellen (BAG, Urteil vom 26.10.1979, 7 AZR 752/77, juris Rn. 51 mwN; OLG Hamm, Urteil vom 23.07.2019, 21 U 24/18, juris Rn. 35); er muss Gegenstand eines Teilurteils im Sinne des § 301 ZPO sein können (vgl. Musielak/Hüntemann, in: MüKo-ZPO, 7. Aufl., § 306 Rn. 3). An letzterem fehlt es vorliegend: Über den Teil des Klageantrags zu 2 „nach vollständiger Auskunftserteilung gem. des Antrags zu 1.“, der nach der Erläuterung der Klägerinvertreter im Senatstermin bewirken soll, dass die Löschung zeitlich erst nach der Auskunftserteilung gemäß dem Klageantrag zu 1 stattfinden darf, damit die streitgegenständlichen Daten nicht vor der Auskunft durch die Beklagte gelöscht werden, könnte kein eigenständiges vollstreckungsfähiges Teilurteil ergehen. Dass der verbleibende Teil seinerseits einen vollstreckungsfähigen Streitgegenstand darstellt, genügt insoweit nicht. Mangels wirksamen Verzichts hat der Senat über den Klageantrag zu 2 im Ergebnis in seiner ursprünglichen Fassung zu entscheiden.

II. Zulässigkeit der Berufung

1. Die Berufung der Beklagten ist zulässig. Sie hat ihr Rechtsmittel form- und fristgerecht eingelegt (§§ 517, 519 ZPO) und begründet (§ 520 ZPO).

2. Der Inhalt der Berufungsbegründung ist am Maßstab des § 520 Abs. 3 S. 2 Nr. 2 u. 3 ZPO gemessen zulässig, und zwar auch, soweit die Beklagte auf den S. 7 bis 10 oben der Berufungsbegründung ihre bereits in ihrem Tatbestandsberichtigungsantrag vom 12.02.2025 erhobenen Rügen gegen die Tatsachenfeststellungen des Landgerichts wiederholt. Zwar ist ein Tatbestandsberichtigungsantrag gemäß § 320 Abs. 1 ZPO grundsätzlich vorrangig. Das Landgericht hat den entsprechenden Antrag der Beklagten jedoch durch Beschluss vom 04.03.2025 zurückgewiesen. Dies führt nicht dazu, dass der Senat uneingeschränkt an die Tatbestandswirkung des § 314 S. 1 ZPO gebunden wäre. Vielmehr kann die Beklagte ihre Berufung in zulässiger Weise gemäß § 520 Abs. 3 S. 2 Nr. 3 ZPO auf die Bezeichnung konkreter Anhaltspunkte, die Zweifel an der Richtigkeit oder Vollständigkeit der Tatsachenfeststellungen im angefochtenen Urteil (i.V.m. dem Tatbestandsberichtigungsantrag) begründen und deshalb eine erneute Feststellung gebieten. Die rechtlichen Berufungsangriffe im Sinne des § 520 Abs. 2 S. 2 Nr. 2 ZPO bestehen zwar überwiegend aus in einer Vielzahl vergleichbarer Verfahren verwendeten Textbausteinen, nehmen aber bzgl. jedes angegriffenen Klageantrags an verschiedenen Stellen hinreichenden Bezug auf die Gründe des angefochtenen Urteils.

III. Begründetheit der Berufung

Die Berufung ist nur in geringem Umfang begründet, weil das Landgericht der Klage weitgehend zu Recht in dem erkannten Umfang stattgegeben hat.

1. Zulässigkeit der Klage

Die Klage ist zulässig.

a) Internationale Zuständigkeit

Die - in jeder Lage des Verfahrens von Amts wegen zu prüfende (vgl. nur BGH, NJOZ 2011, 1278 Rn. 15, beck-online) - internationale Zuständigkeit deutscher Gerichte folgt aus Art. 79 Abs. 2 S. 2 und 82 Abs. 1 DSGVO und aus Art. 17 Abs. 1 lit. c, 18 Abs. 1 Alt. 2 Brüssel Ia-VO. Die Klägerin hat ihren Aufenthaltsort bzw. Wohnsitz in Deutschland und ist Verbraucherin.

b) Anwendung deutschen Rechts

Die Anwendung deutschen Rechts zwischen den Parteien für die Beurteilung der Zulässigkeit und Begründetheit der Klage folgt aus der Rechtswahl der Parteien in der Zustimmung zu den Nutzungsbedingungen der Beklagten (vgl. Anlage B 2) gemäß Art. 3 Abs. 1, 6 Abs. 2 Rom I-VO, weil die Klägerin ihren gewöhnlichen Aufenthalt in Deutschland hat und Verbraucherin ist.

c) Bestimmtheit der Klagegegenstände gemäß § 253 Abs. 2 Nr. 2 ZPO

Nicht nur die bezifferten Zahlungs- und Freistellungsanträge zu 3 und 4, sondern auch der Auskunftsantrag zu 1 und der Löschungs-Anonymisierungsantrag zu 2 haben entgegen der Berufungsrüge der Beklagten im Ergebnis hinreichend bestimmte Streitgegenstände i.S.v. § 253 Abs. 2 Nr. 2 ZPO.

aa) Nach dieser Norm muss die Klageschrift die bestimmte Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs sowie einen bestimmten Antrag enthalten. Unter Gegenstand ist nicht das gegenständliche Objekt der Klage (häufig fehlt ein solches), unter Grund nicht die rechtliche Anspruchsgrundlage zu verstehen. Gemeint ist vielmehr der Sachverhalt, aus dem der Kläger den Klageanspruch herleitet. Der Sachverhalt ist so konkret darzulegen, dass er den Anspruch individualisiert, d.h. von anderen Ansprüchen abgrenzt. Allerdings ist für die Ordnungsmäßigkeit und damit Zulässigkeit der Klage nur so viel vorzutragen, dass der Klageanspruch eindeutig identifizierbar ist (BGH, NJW 2000, 3492, 3493; BGH, MDR 2004, 824); eine vollständige Beschreibung des Lebenssachverhalts, wie sie zur substantiierten Darlegung des Klageanspruchs (und damit für die Begründetheit der Klage) erforderlich sein kann (vgl. Greger, in: Zöller, ZPO, 36. Aufl., Vor § 253 Rn 23 f.), wird nicht verlangt (BGH, NJW 2016, 2747; Greger, in: Zöller, ZPO, 36. Aufl., § 253 Rn. 10/11). Der Klageantrag bestimmt Art und Umfang des Rechtsschutzbegehrens (Streitgegenstand, vgl. Vollkommer, in: Zöller, ZPO, 36. Aufl., Einl. Rn 63). Er bindet das Gericht (§ 308 ZPO) und bestimmt durch Erfolg oder Nichterfolg die Kostenfolge (§§ 91, 92 ZPO). Daher muss er eindeutig sein. Grundsätzlich ist ein Klageantrag hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis klar abgegrenzt ist, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind, das Risiko des (eventuell teilweisen) Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird (BGHZ 153, 69 = NJW 2003, 668 Rn. 46; BGH, NJW 2018, 1259). Nicht jede mögliche Unsicherheit bei der Zwangsvollstreckung führt aber zur Unbestimmtheit des Klageantrags; die Anforderungen sind unter Berücksichtigung von Besonderheiten des materiellen Rechts und des Einzelfalls durch Abwägung der Parteiinteressen an wirksamem Rechtsschutz und Rechtssicherheit festzulegen (BGH, Urteil vom 50.03.2024, VI ZR 330/21, VersR 2024, 1082 Rn. 8). Die Verwendung auslegungsbedürftiger Begriffe kommt nur in Betracht, wenn eine weitere Konkretisierung dem Kläger nicht möglich oder zumutbar ist und für die Parteien kein Zweifel am Inhalt besteht (BGH, Urteil vom 02.12.2015, IV ZR 28/15, NJW 2016, 708 Rn. 8). Bei der Auslegung ist auch die Klagebegründung heranzuziehen (Greger, in: Zöller, ZPO, 36. Aufl., § 253 Rn. 13 mwN). In der Berufungsinstanz kann dem Bestimmtheitserfordernis auch dadurch Rechnung getragen sein, dass der Kläger das erstinstanzliche Urteil, soweit es zu seinen Gunsten ergangen ist, verteidigt (BGH, MDR 95, 951).

bb) An diesem Maßstab gemessen weisen alle vier Klageanträge hinreichend bestimmte Gegenstände und Antragsinhalte zur Bestimmung des jeweiligen Streitgegenstandes auf. Die von der Beklagten geltend gemachten Bedenken könnten allein die im Rahmen der Begründetheit relevanten Substantiierungsanforderungen des Klägervortrags betreffen, machen die Klage aber jedenfalls nicht unzulässig. Insbesondere muss die Klägerin für die Zulässigkeit der Anträge weder im Sachverhalt noch in den Klageanträgen „einzelne konkrete Datenverarbeitungsvorgänge“ auflisten oder vortragen, welche ihrer Daten die Beklagte angeblich verarbeitet habe, von welchen Websites oder Apps diese stammten und wann dies geschehen sei.

(1) Die Klägerin hat die personenbezogenen Daten, über deren Verarbeitung und Verknüpfung im Klageantrag zu 1 a. Auskunft begehrt wird, hinreichend genau bezeichnet. Die Bezugnahme auf Dritt-Webseiten und Dritt-Apps steht der Bestimmtheit nicht entgegen. Der Auskunftsantrag umfasst ersichtlich alle Dritt-Webseiten und Dritt-Apps, auf denen ein Meta Business-Tool der Beklagten integriert ist. Daher ist eine Aufzählung einzelner Dritt-Webseiten und Dritt-Apps nicht erforderlich. In zeitlicher Hinsicht soll die Auskunft ausweislich der Anträge den Zeitraum ab dem 25.05.2018 (Inkrafttreten der DSGVO) erfassen, bei der gebotenen Auslegung analog §§ 133, 157 BGB bis zum Schluss der letzten mündlichen Verhandlung.

(2) Die Klägerin hat auch im Löschungs-/Anonymisierungsantrag zu 2 die personenbezogenen Daten, die gelöscht bzw. anonymisiert werden sollen, durch die Bezugnahme auf den Auskunftsantrag zu 1 grundsätzlich genau bezeichnet, denn es sollen „sämtliche“ sich aus der Auskunftserteilung zu 1 a. ergebenden personenbezogenen Daten gelöscht und „sämtliche“ im Sinne der Auskunftserteilung zu 1 b. und c. gespeicherten personenbezogenen Daten anonymisiert werden. Dass sich die Klägerin dabei an den Begriffen des Art. 4 Nr. 1 u. 2 DSGVO orientiert, sorgt für mehr und nicht für weniger Klarheit. Nach dieser Regelung bezeichnet „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Da der Antrag zu 2 zwischen der bezogen auf die Auskunftserteilung zu 1 a. begehrten Datenlöschung und der hinsichtlich der Auskunftserteilung zu 1 b. und c. begehrten Anonymisierung der Daten differenziert, braucht der Senat nicht zu entscheiden, ob auch der Antrag auf wahlweise Löschung bzw. Anonymisierung hinreichend bestimmt wäre (vgl. OLG München, Urteil vom 18.12.2025, 14 U 2300/25 e, juris Rn. 222). Ob die Anonymisierung eine nach der DSGVO vorgesehene mögliche Rechtsfolge ist, ist eine Frage der Begründetheit.

(3) Die Anträge zu 1 und 2 sind auch nicht deshalb zu unbestimmt, weil Rechtfertigungsgründe i.S.v. Art. 6 Abs. 1 Unterabsatz 1 lit. a - f DSGVO nicht aufgenommen sind, denn auch diese Frage betrifft jedenfalls nicht die Zulässigkeit, sondern die Begründetheit.

(4) Im Ergebnis ist der Klageantrag zu 2 auch nicht aus anderen Gründen unzulässig.

(a) Im Senatstermin haben die Klägerinvertreter klargestellt, dass der Klageantrag zu 2 i.V.m. dem Antrag zu 1 nicht im Rahmen einer (verdeckten) Stufenklage i.S.v. § 254 ZPO erhoben worden ist. Vielmehr soll die Einleitung des Antrags zu 2 „nach vollständiger Auskunftserteilung gem. des Antrags zu 1.“ allein in zeitlicher Hinsicht sicherstellen, dass die Löschung bzw. Anonymisierung erst dann geschehen soll, wenn entsprechende Auskunft erteilt worden ist, weil sonst ggf. die Löschung vor Auskunftserteilung erfolgen könnte.

(b) Unabhängig davon ist in der vom Landgericht antragsgemäß zugesprochenen Formulierung des Klageantrags zu 2 zwar grundsätzlich die Bestimmtheit gemäß § 253 Abs. 2 Nr. 2 ZPO insoweit nicht gewährleistet, als nach der Antragsfassung die Beklagte zur Löschung/Anonymisierung „nach vollständiger Auskunftserteilung gem. des Antrags zu 1.“ verpflichtet werden soll. Denn dieser Urteilsausspruch ist so nicht vollstreckbar und es wäre eine Fortsetzung des Streits im Vollstreckungsverfahren zu erwarten (vgl. dazu BGH, Urteil vom 05.03.2024, VI ZR 330/21, GRUR-RS 2024, 6518 Rn. 8). Im Rahmen der erstinstanzlich ausgeurteilten Tenorierung zu 2 kann ein Vollstreckungsorgan nicht beurteilen, ob und wann eine vollständige Auskunftserteilung gemäß dem Antrag zu 1 gegeben ist. Dieses Zulässigkeitsproblem ist aber inzwischen im Ergebnis behoben worden.

(aa) Soweit die Klägerinvertreter vor dem Hintergrund des Hinweises des Senats den Klageantrag zu 2 im Senatstermin unter Verzicht gemäß § 306 ZPO auf diese Formulierung gestellt haben, ist dieser Verzicht aus den o. g. Gründen zwar prozessual unwirksam. Auch kann die Klägerin im Berufungsverfahren als Berufungsbeklagte außerhalb der Anschlussberufungsfrist des § 524 Abs. 2 S. 2 ZPO nicht mehr ohne Einwilligung der Beklagten ihren - in vollem Umfang zugesprochenen - Klageantrag zu 2 quantitativ oder qualitativ gemäß § 264 Nr. 2 ZPO beschränken oder erweitern (vgl. BAG, Urteil vom 05.06.2019, 10 AZR 100/18 (F), BAGE 167, 36, juris Rn. 14-20).

(bb) Der Klageantrag zu 2 ist jedoch der Auslegung gemäß den §§ 133, 157 BGB analog in eine zulässige Fassung zugänglich. Genügt die wörtliche Fassung eines Antrags nicht dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO, ist er (in jeder Instanz) unter Heranziehung der Klagebegründung auszulegen. Im Zweifel gilt, was nach den Maßstäben der Rechtsordnung vernünftig ist und der recht verstandenen Interessenlage der Parteien entspricht (BGH, Urteil vom 08.05.2014, I ZR 217/12, BGHZ 201, 129, juris Rn. 24; Greger in: Zöller, ZPO, 36. Aufl., § 253 Rn. 13). Aus der - zwar prozessual unwirksamen - teilweisen Verzichtserklärung und Neuformulierung des Klageantrags zu 2 im Senatstermin lässt sich - mit dem Antragswortlaut und Kernbegehren der Klägerin objektiv interessengerecht in Einklang zu bringen - entnehmen, dass es der Klägerin primär um eine wirksame Durchsetzung ihres Löschungs- und Anonymisierungsbegehrens geht. Soweit sie eine Löschung bzw. Anonymisierung ihrer personenbezogenen Daten nicht in prozessual zulässiger und vollstreckungsfähiger Form in einem zeitlichen Stufenverhältnis zu einer vorherigen Auskunftserteilung gemäß dem Klageantrag zu 1 erreichen kann, soll der Antrag zu 2 interessengerecht nicht länger so verstanden werden, sondern die begehrte Löschung und Anonymisierung zeitlich und inhaltlich neben der Auskunftsverpflichtung stehen.

(5) Die Zahlungs- bzw. Freistellungsanträge sind mit ihrem jeweiligen vollstreckungsfähig bezifferten Inhalt hinreichend bestimmt gemäß § 253 Abs. 2 Nr. 2 ZPO. Soweit die Beklagte moniert, dass die Klägerin einen individuellen Datenkontrollverlust nicht dargelegt habe, ändert dies nichts daran, dass sie den Gegenstand und Grund des prozessualen Anspruchs bestimmt angegeben hat. Die Klägerin hat den Sachverhalt hinreichend individualisiert, indem sie die beiden von ihr bei der Beklagten angemeldeten Instagram-Accounts bezeichnet und dargelegt hat, dass sie dort personenbezogene Daten hinterlegt habe, die die Beklagte über die Meta Business-Tools einer Vielzahl von Dritt-Websites und -Apps zur Verfügung gestellt habe. Sie wehrt sich mit der Klage in zulässiger Weise nicht gegen einzelne konkret angegriffene Datenverarbeitungsvorgänge, sondern macht geltend, dass die Beklagte über die Nutzung der Meta Business-Tools als solche ihre personenbezogenen Daten im Sinne der DSGVO verarbeitet habe und dass allein schon dieser Umstand zu einem Datenkontrollverlust der Klägerin geführt habe.

d) Objektive Klagehäufung

Die Voraussetzungen der objektiven Klagehäufung sind erfüllt (§ 260 ZPO).

2. Begründetheit der Klage

Die Klage ist teilweise begründet. Das Landgericht hat ihr allerdings in geringfügigem Umfang zu weitgehend stattgegeben.

a) Auskunftsantrag zu 1

Der Auskunftsantrag zu 1 ist wie vom Landgericht ausgeurteilt voll begründet.

aa) Anwendungsbereich der DSGVO

Die DSGVO ist sachlich, räumlich und zeitlich anwendbar (Art. 2 Abs. 1, 3 Abs. 1 und 99 Abs. 2 DSGVO). Der Auskunftsanspruch wird für die Zeit ab dem 25.05.2018, dem Tag des Inkrafttretens der DSGVO, verlangt. Es geht um datenschutzbezogene Ansprüche gegen ein in Irland, also mit Sitz in der EU ansässiges Unternehmen.

bb) Anspruchsgrundlage

Der Anspruch der Klägerin gegen die Beklagte ergibt sich dem Grunde nach aus Art. 15 Abs. 1 lit. a, c, g und h DSGVO.

Nach dieser Vorschrift hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke; […]

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; […]

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und - zumindest in diesen Fällen - aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

cc) Bestehen der Anspruchsvoraussetzungen

Der Klägerin steht der geltend gemachte Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO dem Grunde nach zu, soweit die Klägerin nach der Verarbeitung ihrer personenbezogenen Daten durch die Beklagte seit dem 25.05.2018 und nach der Verknüpfung der erhobenen Daten mit ihrem Konto fragt.

Die Beklagte verarbeitet die Klägerin betreffende personenbezogene Daten im Sinne des Art. 4 Nr. 1 und 2 DSGVO, denn mit Hilfe der Meta Business-Tools erhebt, erfasst und speichert die Beklagte Daten der Klägerin (u.a. IP-Adresse, Geräteinformationen, sog. „Event-Daten“). Zu diesen personenbezogenen Informationen gehören laut den Meta Business Tools Nutzungsbedingungen (Anlage B 5 Seite 1) auch Namen, E-Mail-Adressen und Telefonnummern.

Im Prozess hat die Beklagte nicht bestritten, dass sie - u. a. auch in Bezug auf personenbezogene Daten der Klägerin - eine Datenverarbeitung vorgenommen hat; sie hält diese lediglich - zu Unrecht - für rechtmäßig (S. 36 ff. der Klageerwiderung). Soweit die Beklagte während des erstinstanzlichen Rechtsstreits das außergerichtliche Schreiben vom 03.07.2024 an die Klägerin-Vertreter gesandt hat, auf dessen S. 3 es heißt „Vor dem Hintergrund, dass Ihr Mandant nicht über die Einstellung „Informationen über Aktivitäten von Werbepartnern“ eingewilligt hat, verarbeitet Meta keine personenbezogenen Daten Ihres Mandanten im Rahmen der streitgegenständlichen Datenverarbeitung.“, liegt darin kein wirksames prozessuales Bestreiten der Verarbeitung personenbezogener Daten der Klägerin durch die Beklagte gemäß § 138 Abs. 2 und 3 ZPO, auch wenn die Beklagten den Inhalt ihres Schreibens durch Bezugnahme in der Klageerwiderung zum Gegenstand ihres Vortrags gemacht hat. Denn der Satz enthält kein konkretes Bestreiten, dass die Beklagte mit den von der Klägerin mitgeteilten Daten Verarbeitungsvorgänge im Sinne des Art. 4 Nr. 2 DSGVO durchgeführt hat, sondern nur eine rechtliche Wertung, dass die Beklagte wegen der von der Klägerin nicht erteilten Einwilligung über die Einstellung „Informationen über Aktivitäten von Werbepartnern“ keine personenbezogenen Daten der Klägerin „im Rahmen der streitgegenständlichen Datenverarbeitung“ verarbeite. Nach dem unstreitigen o. g. Sachverhalt zu der Anmeldung der Klägerin mit den genannten Accounts bei Instagram und zur Funktions- und Wirkweise der Meta Business Tools unterliegt es indes in tatsächlicher Hinsicht keinem Zweifel, dass die Beklagte eine Verarbeitung von Daten der Klägerin vorgenommen hat, nämlich zumindest die Erhebung, Erfassung und Speicherung gemäß Art. 4 Nr. 2 DSGVO. Personenbezogen i.S.v. Art. 4 Nr. 1 DSGVO sind die verarbeiteten Daten schon deshalb, weil die Beklagte unstreitig in der Lage ist, diese Daten (z.B. über die verwendete IP-Adresse oder individuelle Geräteinformationen) dem Benutzerkonto der Klägerin zuzuordnen (vgl. Erwägungsgrund 26 zur DSGVO: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren [...]“; EuGH, BeckRS 2016, 82520 zu dynamischen IP-Adressen; OLG München, Urteil vom 18.12.2025, 14 U 2300/25 e, juris Rn. 247).

dd) Rechtsfolge

In der Folge gewährt Art. 15 Abs. 1 Halbsatz 2 der Klägerin grundsätzlich ein Recht auf Auskunft über diese personenbezogenen Daten und darüber hinausgehende Informationen, die in Buchstaben a) - h) näher genannt werden, soweit die Beklagte als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO anzusehen ist und die Auskunft noch nicht erfüllt worden ist. Auf die Frage der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten, insbesondere der Rechtfertigungsgründe nach Art. 6 DSGVO, kommt es an dieser Stelle noch nicht an. Darauf, ob die Datenverarbeitung rechtmäßig erfolgt, stellt Art. 15 Abs. 1 DSGVO nicht ab.

(1) Die Beklagte ist für die Erhebung, Übermittlung, Speicherung und Verwertung dieser Daten verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO. Die Verantwortlichkeit für die Speicherung und Verarbeitung ist vom Landgericht in dem angefochtenen Urteil festgestellt worden und liegt aus den obigen Gründen nach dem im Wesentlichen unstreitigen Grundsachverhalt auf der Hand, sie wird auch mit der Berufung nicht angegriffen. Die Beklagte ist gemeinsam mit ihren Partnern auch für die Erfassung und Weiterleitung dieser Daten an ihre Server verantwortlich (vgl. EuGH, Urteil vom 29.07.2019, C-40/17, juris Rn. 79 und 96). Das liegt bereits daran, dass durch die Einbettung der Meta Business-Tools in eine Dritt-Webseite oder Dritt-App eine „dynamische Verweisung“ auf die jeweils aktuelle Version der Meta Business-Tools entsteht. Die Kontrolle über die Programmierung der Meta Business-Tools und damit den Umfang der Erfassung und Weiterleitung der Daten verbleibt bei der Beklagten. Sie entscheidet mit, welche Daten erhoben und übersandt werden (OLG München, Urteile vom 18.12.2025, 14 U 1314/25 e, juris Rn. 374; vom 18.12.2025, 14 U 2300/25 e, juris Rn. 250; vom 18.12.2025, 14 U 881/25 e, juris Rn. 144). Die Beklagte kann diese Verantwortlichkeit weder durch vertragliche Vereinbarungen mit den Drittanbietern auf diese abwälzen noch kann sie sich durch etwaige Belehrungen der Drittanbieter im Hinblick auf deren datenschutzrechtlichen Pflichten von der eigenen Verantwortlichkeit freizeichnen, schon weil sie selbst gegenüber ihren Meta Business-Tools-Kunden die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO feststellt (vgl. OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris Rn. 170). Dementsprechend hat die Beklagte in den Nutzungsbedingungen der Meta Business-Tools die gemeinsame Verantwortlichkeit für die Erhebung und Übermittlung der Daten übernommen (vgl. Anlage B 5).

(2) Der Anspruch ist nicht nur hinsichtlich der Verarbeitung personenbezogener Daten der Klägerin, sondern entgegen der im Verhandlungstermin geäußerten ursprünglichen Einschätzung des Senats auch hinsichtlich deren Verknüpfung mit dem Konto der Klägerin nicht durch das außergerichtliche Schreiben vom 03.07.2024 erfüllt worden (§ 362 Abs. 1 BGB), insbesondere nicht dadurch, dass die Beklagte dort auf ihre sog. Selbsthilfetools verwiesen und der Klägerin eine entsprechende Anleitung zur Verfügung gestellt hat (vgl. OLG München, Urteil vom 18.12.2025, 14 U 2300/25 e, juris Rn. 299 ff.). Entgegen der Einschätzung des OLG München in einem dort entschiedenen Parallelfall vermag der Senat nach erneuter Beratung nicht zu erkennen, dass die Frage der Verknüpfung der personenbezogenen Daten mit dem Konto der Klägerin durch die Beklagte in dem außergerichtlichen Schreiben vom 03.07.2024 bereits mit „nein“ beantwortet und damit die Auskunft erteilt worden sein könnte (vgl. OLG München, Urteil vom 18.21.2025, 14 U 2300/25 e, juris Rn. 293). Zwar hat die Beklagte mit der Anlage B 8 Informationen für die Klägerin bereitgestellt, die diese befähigen sollen, sich ihrerseits Informationen über bei der Beklagten über die Klägerin vorhandene Daten zu erschließen. Die gesamte Auskunft geht aber am Kern des klägerischen Auskunftsbegehrens vorbei. Das ergibt sich schon aus den Ausführungen der Beklagten dazu, was sie als „streitgegenständliche Datenverarbeitung“ definiert und hiervon ausgehend beauskunftet, nämlich „die angebliche Verarbeitung ihrer personenbezogenen Daten durch Meta, die durch bestimmte „Meta Business-Tools“ […] angeblich erhalten wurden, um ihr personalisierte Werbung auf Facebook Instagram anzuzeigen […]“. Die Klägerin begehrt aber Auskunft nicht bezogen auf die Verarbeitung von Daten, um ihr personalisierte Werbung anzuzeigen. Sie begehrt eine aus dem Antrag zu 1 ersichtliche umfassende Auskunft. In dem gesamten Schreiben ist im Übrigen nirgends von einer konkreten „Verknüpfung“ oder „verknüpfen“ der personenbezogenen Daten der Klägerin mit ihrem Konto die Rente. Auch deshalb kann aus dem Inhalt des Schreibens vom 03.07.2024 nicht auf eine Auskunftserteilung über das Ob und Wie einer Verknüpfung der personenbezogenen Daten mit dem Konto der Klägerin geschlossen werden.

Wie die Beklagte im Übrigen selbst in ihrem Anschreiben an die Klägerin ausführt, ist schon nicht gewährleistet, dass die Nutzer die vollständige Information über alle von der Beklagten gespeicherten Daten erhalten, wenn sie das sog. Selbsthilfetool nutzen. So führt die Beklagte aus: „Einige Informationen, die du gelöscht hast, werden eventuell aus Sicherheitsgründen vorübergehend gespeichert. Sie erscheinen aber nicht, wenn du auf deine Informationen zugreifst oder sie herunterlädst“.

Zudem erläutert die Beklagte in der Anlage B 8, dass auf dem dort vorgestellten Weg des Selbsthilfetools nur solche Daten in Erfahrung gebracht werden können, die darauf beruhen, dass die Klägerin über die Einstellung „Informationen über Aktivitäten von Werbepartnern“ in personalisierte Werbung eingewilligt hat. So führt die Beklagte auf Seite 4 der Anlage B 8 aus: „Sofern sich Ihre Mandantschaft entscheidet, zukünftig in die streitgegenständliche Datenverarbeitung einzuwilligen, stellt [die Beklagte] leicht verständliche Self-Service-Tools auf ... zur Verfügung“. Unstreitig erhält die Beklagte ausweislich ihrer eigenen Darstellung über ihre Meta Business-Tools von den diese benutzenden Werbepartnern auch dann Informationen zur Klägerin, wenn gerade keine Einwilligung in personalisierte Werbung durch die Klägerin auf der Plattform vorliegt. Diese Daten werden bei der Beklagten erfasst und gespeichert, folglich verarbeitet im Sinne der DSGVO, und könnten - über die IP-Adresse - der Klägerin einfach zugeordnet werden. Diese Daten können schon nach dem eigenen Bekunden der Beklagten nicht über das sog. Selbsthilfetool abgerufen werden.

Schließlich belegt auch der Inhalt der von der Beklagten als Anlage B 11 in erster Instanz eingeführten Datenschutzrichtlinie, dass eine Verknüpfung der erhobenen personenbezogenen Daten mit dem Konto des jeweiligen Nutzers stattfindet, ohne dass hierzu bisher die gebotene Auskunft erteilt worden ist. Denn im Einstieg der Datenschutzrichtlinie noch vor der folgenden Überschrift „Übernimm die Kontrolle“ heißt es auf S. 8 „Partner teilen auch Informationen wie deine E-Mail-Adresse, Cookies und deine Geräte-ID für Werbezwecke mit uns. Diese Informationen helfen uns dabei, deine Aktivitäten mit deinem Konto abzugleichen, wenn du eines hast. Du kannst deine Cookie-Einstellungen anpassen, um zu steuern, wie wir bestimmte Informationen von Partnern nutzen, um Inhalte und Werbung für dich bereitzustellen und zu personalisieren. Wir erhalten diese Informationen unabhängig davon, ob du bei unseren Produkten angemeldet bist bzw. ein Konto auf ihnen hast oder nicht. Mehr dazu, wie wir Informationen von Partnern mit deinem Konto verknüpfen…“ Das bestätigt, dass die Beklagte unabhängig von der Frage, wie Nutzer ihr Konto einrichten, keine Negativauskunft dahingehend erteilen kann und auch nicht erteilt hat, dass keine Verknüpfung mit dem Nutzerkonto stattfinde. Das Auskunftsbegehren der Klägerin ist damit sowohl hinsichtlich der Verarbeitung als auch hinsichtlich der Verknüpfung nicht erfüllt. Etwas anderes konnte die insoweit beweisbelastete Beklagte (vgl. Grüneberg, in: Grüneberg, BGB, 85. Aufl., § 362 Rn. 16) jedenfalls nicht nachweisen (vgl. OLG München, Urteil vom 18.12.2025, 14 U 2300/25 e, juris Rn. 299-303).

b) Löschungs- und Anonymisierungsantrag zu 2

Der vom Senat wie oben dargestellt ausgelegte Löschungs- und Anonymisierungsantrag zu 2 ist in der Sache selbst teilweise begründet. Die Klägerin hat gegen die Beklagte einen Anspruch auf Löschung sämtlicher durch die Meta Business-Tools übermittelten und gespeicherten personenbezogenen Daten i.S.v. lit. a. des Auskunftsantrags zu 1 gemäß Art. 17 Abs. 1 lit. d DSGVO. Ein Anspruch auf Anonymisierung der Daten zu lit. b. und c. des Auskunftsantrags zu 1 besteht demgegenüber nicht.

aa) Nach Art. 17 Abs. 1 lit. d DSGVO hat der Betroffene das Recht, von dem Verantwortlichen zu verlangen, dass ihn betreffende personenbezogene Daten gelöscht werden, sofern die Daten unrechtmäßig verarbeitet werden.

bb) Diese Voraussetzungen sind erfüllt. Die Klägerin ist Betroffene. Die Beklagte ist verantwortlich für die Datenverarbeitung und verarbeitet die personenbezogenen Daten der Klägerin unrechtmäßig. Es greift keine Ausnahme nach Art. 17 Abs. 3 DSGVO.

(1) Löschungsantrag wegen Verstoßes gegen die DSGVO

Die Verarbeitung der über die Meta Business-Tools erlangten Daten verstößt - mangels Vorliegens einer entsprechenden Einwilligung der Klägerin - gegen den in Art. 5 Abs. 1 lit. a DSGVO normierten Grundsatz der rechtmäßigen Datenverarbeitung.

Des Weiteren liegt ein Verstoß gegen den Grundsatz der Zweckbindung der Datenverarbeitung i.S.v. Art. 5 Abs. 1 lit. b DSGVO vor.

Schließlich lässt sich ein Verstoß gegen den Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c, Art. 25 Abs. 2 Satz 1 und 3 DSGVO feststellen. Im Einzelnen:

(a) Datenverarbeitung durch die Beklagte

Die Beklagte erlangt und verarbeitet personenbezogene Daten der Klägerin im Sinne des Art. 4 Nr. 1, 17 Abs. 1 DSGVO.

(aa) Die Feststellung des Landgerichts, dass die Beklagte über ihre Meta Business-Tools von Dritten Informationen über die Bewegungen/den Besuch der Klägerin auf Webseiten und Apps Dritter erlangt, bindet den Senat nach § 529 Abs. 1 Nr. 1 ZPO.

(aaa) Der Senat ist davon überzeugt, dass die Beklagte mit den Meta Business-Tools eine potentiell unbegrenzte Menge an personenbezogenen Daten der Klägerin verarbeitet, indem sie deren Aktivitäten auf Dritt-Webseiten und Dritt-Apps verfolgt. Sie erhebt mit den Meta Business-Tools umfassend - also allgemein und unterschiedslos - personenbezogene Daten der Nutzer, darunter der Klägerin, über deren Tätigkeiten außerhalb ihres Netzwerks, darunter u.a. Daten über den Abruf von Webseiten und Apps Dritter. Bestimmte technische Standarddaten gelangen dabei automatisch an die Beklagte, wenn der Nutzer eine Dritt-Webseite oder eine Dritt-App aufruft. Zwischen den Parteien ist auch unstreitig, dass die Beklagte über die Meta Business-Tools Kontaktinformationen und/oder Event-Daten der Nutzer auf den Dritt-Webseiten und Dritt-Apps erhält, wenn der Partner bei Einbettung der Meta Business-Tools in seine Webseite bzw. App eine entsprechende Einstellung vorgenommen hat. Dabei handelt es sich um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO, weil die Beklagte unstreitig in der Lage ist, diese Daten der Klägerin zuzuordnen.

(bbb) Die Beklagte zeigt mit ihrer Berufung keine Anhaltspunkte für Zweifel an der Richtigkeit und Vollständigkeit dieser Feststellung auf. Die Klägerin kann und muss nicht wissen, auf welchen konkreten Dritt-Webseiten und Dritt-Apps die Meta Business-Tools Verwendung finden. Zwar ist ein Kläger insoweit grundsätzlich darlegungs- und beweispflichtig. Nach der Rechtsprechung des Bundesgerichtshofs ist die Partei jedoch berechtigt, Behauptungen zu Vorgängen, die sich ihrer unmittelbaren Kenntnis entziehen, auch ohne eine dahingehende positive Kenntnis und nur auf eine Vermutung gestützt aufzustellen. Die auf eine solche Vermutung gestützte Behauptung der Klägerin über ihre Betroffenheit von den Meta Business-Tools ist angesichts ihrer unbestrittenen Nutzung des Internets und der Verbreitung/Reichweite der Meta Business-Tools naheliegend. Die Beklagte hat selbst vorgetragen, dass die Meta Business-Tools „von Millionen von kleineren und größeren Organisationen auf der ganzen Welt“ genutzt würden und ein „allgegenwärtiger und integraler Bestandteil der alltäglichen Internetnutzung und ihrer Funktionen“ seien (vgl. u.a. S. 5 der Klageerwiderung). Die Betroffenheit der Klägerin ist vor diesem - von der Beklagten selbst vorgetragenen - Hintergrund so wahrscheinlich, dass an ihr für den Senat keine vernünftigen Zweifel bestehen. Die Beklagte kann sich bei einer solchen Sachlage nicht auf ein Bestreiten mit Nichtwissen zurückziehen, dass die Klägerin Dritt-Webseiten bzw. Dritt-Apps mit Meta Business-Tools besucht hat. Denn sie allein weiß genau, von welchen konkreten Dritt-Webseiten und Dritt-Apps sie Informationen über die Klägerin erhalten hat. Daher muss sie den Vortrag der Klägerin konkret bestreiten (§ 138 Abs. 1 und Abs. 2 BGB), was sie nicht getan hat. Abgesehen davon hat das Landgericht das Ergebnis der persönlichen Anhörung der Klägerin zu von ihr genutzten Dritt-Webseiten in dem angefochtenen Urteil gewürdigt, ohne dass die Beklagte insoweit einen Verstoß gegen die §§ 286, 529 Abs. 1 ZPO aufgezeigt hat. Vielmehr hat die Klägerin im Senatstermin bekundet, dass sie sich das, was sie bereits vor dem Landgericht ausgeführt habe, im Vorfeld der Verhandlung noch einmal gründlich durchgelesen habe und das so Bestand habe. Der Senat ist von der Richtigkeit der plausiblen Angaben der Klägerin überzeugt.

(ccc) Die Beklagte nimmt auch eine Verarbeitung der von Dritten erlangten Daten vor, indem sie diese Daten - zumindest - speichert. Auch die diesbezügliche Feststellung im erstinstanzlichen Urteil, dass die an die Beklagte übermittelten Daten - zumindest - gespeichert und damit verarbeitet i.S.v. Art. 4 Nr. 2 DSGVO werden, ist für den Senat nach § 529 Abs. 1 Nr. 1 ZPO bindend, weil die Beklagte sie aus den o. g. Gründen nicht erheblich angegriffen hat. Dass die Beklagte eine Verarbeitung der über die Meta Business-Tools von Dritten erlangten Daten vornimmt, hat sie selbst eingeräumt. Entgegen der von ihr wiederholt geäußerten Ansicht ist es - nach den oben unter (bbb) dargelegten Grundsätzen - gerade nicht Sache der Klägerin, dazu vorzutragen und zu konkretisieren, welche Form der Datenverarbeitung die Beklagte vornimmt.

(ddd) Wie die Beklagte mit den bei ihr erhobenen Informationen weiter verfährt, hängt zwar teilweise von den Datenschutz-Einstellungen des jeweiligen Nutzers ab. Entscheidet sich der Nutzer dafür, Werbung mithilfe der Informationen von Werbepartnern zu seinen Aktivitäten relevanter zu machen, erhält er stärker personalisierte Werbung. Erlaubt der Nutzer der Beklagten nicht, Cookies und vergleichbare Technologien in anderen Apps und auf anderen Webseiten zu nutzen, so werden die dort erhobenen Daten nicht verwendet, um personalisierte Werbung zu erzeugen und anzuzeigen. Gleichwohl erhält und verwendet die Beklagte die Daten. So kann es sein, dass die Beklagte weiterhin „aggregierte Informationen zu Aktivitäten“ des Nutzers erhält (S. 41 der Anlage B 7). Es werden zwar „weniger Informationen“ über den Nutzer verwendet (vgl. S. 43 der Anlage B 7). Die Daten werden dennoch auch nach Vortrag der Beklagten - für „andere Zwecke“ - verarbeitet (vgl. Duplik Rn. 62), z.B. zum Schutz der Sicherheit und Integrität der Server oder zur Messung der Effektivität von Werbekampagnen. Der Nutzer hat weiter die Möglichkeit, die Verknüpfung künftiger Aktivitäten mit seinem Konto aufzuheben und frühere Aktivitäten zu löschen (vgl. S. 44 ff. der Anlage B 7). In diesem Fall erhält die Beklagte aber weiterhin Informationen zu seinen Aktivitäten, die für Messungen sowie zur Verbesserung der Werbesysteme verwendet werden (vgl. S. 56 der Anlage B 7). Die Klägerin kann also unabhängig von ihrer Einwilligung die Erhebung von personenbezogenen Daten über die Meta Business-Tools, die Übersendung und die Speicherung nicht vollständig verhindern.

(eee) Dem steht der Einwand der Beklagten, sie verarbeite die streitgegenständlichen Daten der Klägerin nicht zur Bereitstellung personalisierter Werbung, weil diese nicht zugestimmt habe, nicht entgegen. Denn der Klägerin geht es, wie sie auch im Berufungsverfahren mehrfach betont hat, um einen umfassenden Schutz gegen die massenhafte Erhebung der Daten über die Meta Business-Tools und deren anschließende Verarbeitung - unabhängig davon, zu welchem Zweck die Beklagte die Daten verwendet. Unerheblich ist auch, ob andere Unternehmen vergleichbare Meta Business-Tools anbieten. Schließlich ist auch der Beklagtenvortrag unerheblich, dass sie davon ausgehe, dass die Klägerin behaupte, zwei separate Instagram-Konten unter den Nutzernamen „@A” und „@B” zu haben, während das Landgericht zu Unrecht nur ein Instagram-Konto der Klägerin unter dem Nutzernamen „@A & @B” suggeriere, und dass die Klägerin hinsichtlich des Kontos „@B“ nicht über die Einstellung „Informationen von Werbepartnern zu deinen Aktivitäten“ eingewilligt habe, wohingegen sie bei dem Konto „@A“ ihre Einwilligung ursprünglich erteilt gehabt habe. Letztere ist unerheblich, weil in beiden Fällen aus den nachfolgenden Gründen eine rechtswidrige Datenverarbeitung mit einem damit einhergehenden Datenkontrollverlust der Klägerin gegeben ist.

(b) Verantwortliche

Die Beklagte ist für die Datenverarbeitung Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO (s. o.).

(c) Verstoß gegen die in Art. 5 DSGVO enthaltenen Grundsätze über die Verarbeitung personenbezogener Daten

(aa) Nach Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Des Weiteren dürfen sie gemäß Art. 5 Abs. 1 lit. b DSGVO nur für festgelegte, eindeutige und legitime Zwecke erhoben werden, d.h. nicht zu noch unbekannten Zwecken „auf Vorrat“. Schließlich müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Grundsatz der Datenminimierung), Art. 5 Abs. 1 lit. c DSGVO. Der Grundsatz der Datenminimierung sichert die Verhältnismäßigkeit der Datenverarbeitung und besagt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen (vgl. EuGH, Urteile vom 04.10.2024, C-446/21, NZA 2024, 1407, 1409 f., Rn. 49 ff.; vom 04.07.2023, C-252/21, NJW 2023, 2997, Rn. 109; jeweils mwN). Der Verantwortliche ist unter Berücksichtigung des Grundsatzes der Datenminimierung verpflichtet, den Zeitraum der Erhebung der betreffenden personenbezogenen Daten auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (vgl. EuGH, Urteil vom 04.10.2024, C-446/21, NZA 2024, 1407, 1409 f., Rn. 52). Somit ist Art. 25 DSGVO eindeutig zu entnehmen, dass der in ihm verankerte Grundsatz der Speicherbegrenzung verlangt, dass der Verantwortliche in der Lage ist, nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist (vgl. EuGH, Urteil vom 04.10.2024, C-446/21, NZA 2024, 1407, 1409 f., Rn. 55). Der Verantwortliche darf die Daten nicht allgemein und unterschiedslos erheben, sondern muss von der Erhebung solcher Daten absehen, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (vgl. EuGH, Urteile vom 04.10.2024, C-446/21, NZA 2024, 1407, 1409 f., Rn. 59; vom 24.02.2022, C-175/20, EuZW 2022, 527, Rn. 74).

(bb) Gegen all diese Grundsätze hat die Beklagte mit der streitgegenständlichen Datenverarbeitung verstoßen.

(aaa) Der Senat ist davon überzeugt, dass die Beklagte mit den Meta Business-Tools eine potentiell unbegrenzte Menge an personenbezogenen Daten der Klägerin verarbeitet, indem sie die Aktivitäten der Klägerin auf Dritt-Webseiten und Dritt-Apps verfolgt. Sie erhebt mit den Meta Business-Tools umfassend - also allgemein und unterschiedslos - personenbezogene Daten der Nutzer, darunter der Klägerin, über deren Tätigkeiten außerhalb ihres Netzwerks, darunter u.a. Daten über den Abruf von Webseiten und Apps Dritter. Bestimmte technische Standarddaten gelangen dabei automatisch an die Beklagte, wenn der Nutzer eine Dritt-Webseite oder eine Dritt-App aufruft. Zwischen den Parteien ist auch unstreitig, dass die Beklagte über die Meta Business-Tools Kontaktinformationen und/oder Event-Daten der Nutzer auf den Dritt-Webseiten und Dritt-Apps erhält, wenn der Partner bei Einbettung der Meta Business-Tools in seine Webseite bzw. App eine entsprechende Einstellung vorgenommen hat. Dabei handelt es sich um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO, weil die Beklagte unstreitig in der Lage ist, diese Daten der Klägerin zuzuordnen. Die Datenverarbeitung der Beklagten ist umfassend, weil die Meta Business-Tools nahezu unbegrenzt personenbezogene Daten erheben. Das hat erhebliche Auswirkungen auf den Nutzer, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von der Beklagten aufgezeichnet werden, und stellt einen erheblichen Eingriff in die Grundrechte der betroffenen Personen dar, insbesondere in ihre durch die Art. 7, Art. 8 der Charta der Grundrechte der Europäischen Union (GRCh) gewährleisteten Rechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten. Die allgemeine und unterschiedslose Verwendung sämtlicher personenbezogener Daten, die von einer Plattform für ein soziales Netzwerk erhoben, übersendet, gespeichert und analysiert werden, kann unabhängig vom Sensibilitätsgrad dieser Daten nicht als verhältnismäßiger Eingriff in die Rechte, die den Nutzern dieser Plattform durch die DSGVO garantiert werden, qualifiziert werden (OLG München, Urteil vom 18.12.2025, 14 U 1068/25 e, juris Rn. 266; OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris Rn. 181).

(bbb) Diesen Feststellungen stehen auch nicht die ergänzenden Ausführungen der Beklagtenvertreterin in der mündlichen Verhandlung vor dem Senat vom 09.03.2026 entgegen, wo sie „klarstellend“ ausgeführt hat, dass an die Beklagte gar keine Daten übertragen würden, wenn der Anbieter der Drittwebsite sich richtig verhalte bzw. die Tools richtig installiere und der User den Cookie-Banner ablehne. Wenn das so gehandhabt werde, lade der Meta-Pixel schon gar nicht und es würden keinerlei Daten an Meta übertragen, auch nicht z.B. die User-ID bzw. IP-Adresse.

Zum einen ist dieser erstmals im Berufungsverfahren gehaltene Vortrag, der in Widerspruch zu dem oben gewürdigten erstinstanzlichen Vorbringen der Beklagten steht, gemäß den §§ 529 Abs. 1 Nr. 2, 531 Abs. 2 Nr. 3 ZPO präkludiert. Die Klägerinvertreter haben ihn im Senatstermin in zulässiger Weise gemäß § 138 Abs. 4 ZPO mit Nichtwissen bestritten. Es handelt es sich nicht lediglich um eine im Berufungsverfahren zulässige Präzisierung oder Klarstellung des erstinstanzlichen Vortrags, sondern um gänzlich neues, in unauflösbarem Widerspruch zu den erstinstanzlichen Einräumungen stehendes Vorbringen, bzgl. dessen die Beklagte nicht darlegt, warum sie ohne Nachlässigkeit daran gehindert gewesen sei, dies bereits in erster Instanz vorzutragen.

Im Übrigen ist der Vortrag aber auch unerheblich. Als gemeinsam Verantwortliche hätte die Beklagte auch in dem Falle der obigen Funktionsweise des Meta-Pixels sicherzustellen, dass die Anbieter der Drittwebsites sich richtig verhalten bzw. die Tools richtig installieren. Dass sie dies durchgehend und umfassend kontrolliert und gewährleistet hat, behauptet die Beklagte nicht einmal. Zudem ist nicht ersichtlich, dass für Nutzer wie die Klägerin objektiv erkennbar gewesen sein könnte, dass sie mit der Entscheidung über die Cookie-Banner im Zuge des Öffnens einer Drittwebsite darüber bestimmen, ob die Beklagte über die Meta Business-Tools Zugriff auf ihre personenbezogenen Daten erhält oder nicht. Schließlich hat die Beklagte nur auf den sog. Meta Pixel abgestellt, aber nicht ausgeführt, dass nicht Daten über die weiteren Meta Business-Tools erhoben, übersandt und verarbeitet werden. Ihren Partnern empfiehlt die Beklagte, die Meta Business-Tools kumulativ einzusetzen.

(cc) Keine Rechtfertigung

Die Verarbeitung der personenbezogenen Daten der Klägerin ist - soweit es für die vorgenannten Tatbestände hierauf überhaupt ankommt - nicht nach Art. 6 Abs. 1 und Art. 9 DSGVO gerechtfertigt. Die - insoweit darlegungs- und beweispflichtige - Beklagte hat weder vorgetragen, welche Daten sie zu welchem konkreten Zweck verwendet, noch kann sie sich auf die einzelnen Rechtfertigungsgründe der DSGVO stützen. Insbesondere fehlt es an einer Einwilligung der Klägerin in die Datenverarbeitung.

(aaa) Unklarer Zweck der Datenverarbeitung

Eine Rechtfertigung der Datenverarbeitung nach Art. 6 Abs. 1 DSGVO und Art. 9 Abs. 2 DSGVO scheitert schon daran, dass die Beklagte nicht hinreichend konkret vorträgt, welche Daten sie zu welchem konkreten Zweck erhebt und verarbeitet.

(aaaa) Nach Art. 5 Abs. 2 DSGVO trägt der Verantwortliche die Beweislast dafür, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Außerdem obliegt es dem Verantwortlichen nach Art. 13 Abs. 1 lit. c DSGVO, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 95). Die Beklagte hat also darzulegen, zu welchem Zweck sie welche Daten erhoben hat und weshalb die Verarbeitung rechtmäßig sein soll.

(bbbb) Dem ist sie nicht nachgekommen. Sie stützt sich zur Rechtfertigung auf ihre eigene Datenschutzrichtlinie (Anlagen K 1 und B 11), aus der sich mehrere Rechtsgrundlagen für die Datenverarbeitung ergeben sollen. Der Datenschutzrichtlinie der Beklagten lässt sich schon aufgrund ihres Umfangs und der verwirrenden Darstellungsart nicht nachvollziehbar entnehmen, welche konkreten Daten erhoben und für welche konkreten Zwecke sie verwendet werden. Die Beklagte hat im vorliegenden Verfahren zum Umfang und der Art und Weise der Datenverarbeitung nichts Konkretes vorgetragen. Dass ihr dies angesichts der Menge der betroffenen Daten womöglich nicht oder nur mit erheblichem Aufwand möglich ist, rechtfertigt keine andere Bewertung. Es verdeutlicht vielmehr den erheblichen Verstoß gegen den Grundsatz der Datenminimierung (vgl. OLG München, Urteile vom 18.12.2025, 14 U 1314/25 e, juris Rn. 381; vom 18.12.2025, 14 U 2300/25 e, juris Rn. 258; OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris Rn. 182).

(bbb) Fehlende Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a, Art. 9 Abs. 2 DSGVO

Ungeachtet dessen fehlt es auch an einer wirksamen Einwilligung der Klägerin in die festgestellte Verarbeitung der personenbezogenen Daten durch die Beklagte.

(aaaa) Nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn und soweit die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke freiwillig in informierter Weise und unmissverständlich i.S.v. Art. 4 Nr. 11 DSGVO erteilt hat (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, GRUR-RS 2023, 15772, Rn. 91 f.; EuGH, Urteil vom 11.11.2020, C-61/19, NJW 2021, 841, Rn. 35 f.).

(bbbb) Konkreter Vortrag der Beklagten dazu, dass die Klägerin eine Einwilligung für die streitgegenständliche Datenverarbeitung über die Meta Business-Tools i.S.v. Art. 6 Abs. 1 UAbs. 1 lit. a und Art. 9 Abs. 2 DSGVO erteilt hätte, liefert die Beklagte nicht. Dass sich die Einwilligung aus dem Nutzungsvertrag ergeben würde, behauptet die Beklagte selbst nicht.

Die Ausführungen der Beklagten in der Berufungsbegründung zu Wortlaut und Reichweite der auf ihrer Website zur Verfügung gestellten Einwilligungserklärung bezogen auf eine Verarbeitung der Daten zu Werbezwecken laufen ins Leere, da die Klägerin eine solche - unstreitig - jedenfalls hinsichtlich eines der beiden Nutzerkonten nicht erteilt hat. Der Einwand der Beklagten, dass eine Verwendung der Daten der Klägerin zur Erstellung personalisierter Werbung nicht erfolge, weil insoweit keine Einwilligung erteilt worden sei, verfängt nicht. Denn es ist unstreitig, dass der Beklagten von Dritten über die streitgegenständlichen Meta Business-Tools auch dann Daten zur Verfügung gestellt werden, wenn eine Einwilligung ihr gegenüber nicht erteilt worden ist.

(cccc) Ungeachtet dessen hätte die Klägerin eine etwaige Einwilligung in die Datenverarbeitung, die der Senat - wie dargelegt - bereits nicht feststellen kann, jedenfalls mit Erhebung der vorliegenden Klage - konkludent - widerrufen. Nach Art. 7 Abs. 3 S. 1 DSGVO ist eine erteilte Einwilligung jederzeit frei widerruflich mit der Folge, dass die Datenverarbeitung unrechtmäßig ist. Es gibt keine gesetzliche oder sonstige rechtliche Grundlage für die Annahme der Beklagten, dass der Widerruf einer Einwilligung in die Datenverarbeitung spiegelbildlich nur genau auf dem identischen digitalen Weg wie die Erklärung der Einwilligung zulässig bzw. wirksam sei.

(dddd) Der Senat teilt schließlich die vom Landgericht vertretene Ansicht, dass eine etwaig gegenüber Drittanbietern/Nutzern der Meta Business-Tools erteilte Einwilligung zur Datenverarbeitung die Beklagte nicht davon entbindet, eine Einwilligung für eine nachfolgend in ihrer Sphäre vorgenommene Datenverarbeitung einzuholen. Denn das Sammeln und Speichern der von Dritten übermittelten Daten nimmt allein die Beklagte vor, ohne dass Drittanbieter hierauf Einfluss hätten.

(ccc) Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO

Die Datenverarbeitung ist für die Erfüllung des Nutzungsvertrags nicht erforderlich i.S.v. Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO.

(aaaa) Die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Webseiten oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, kann nur dann als im Sinne dieser Vorschrift für die Erfüllung eines Vertrags, dessen Vertragsparteien die betroffenen Personen sind, erforderlich angesehen werden, wenn diese Verarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für diese Nutzer bestimmten Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne diese Verarbeitung nicht erfüllt werden könnte (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris 4. Ls. und Rn. 125).

(bbbb) Die Beklagte hat diese Voraussetzung nicht hinreichend konkret dargelegt. Der Umstand, dass die Datenverarbeitung im Vertrag bzw. der Datenschutzrichtlinie erwähnt wird oder für dessen Erfüllung von Nutzen ist, genügt nicht. Entscheidend ist, dass die Datenverarbeitung des Verantwortlichen für die ordnungsgemäße Erfüllung des mit dem Betroffenen geschlossenen Vertrags wesentlich ist, und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen.

Es ist bereits zweifelhaft, ob die von der Beklagten angesprochene Personalisierung von Funktionen, Inhalten und Vorschlägen zu Personen, Gruppen und Veranstaltungen notwendiger Bestandteil der Vertragsleistungen der Beklagten ist. Jedenfalls ist die umfassende Verarbeitung der über die Meta Business-Tools erlangten Daten zur Erreichung dieses Zwecks nicht unerlässlich (OLG München, Urteile vom 18.12.2025, 14 U 1314/25 e, juris Rn. 385; vom 18.12.2025, 14 U 2300/25 e, juris Rn. 261; vom 18.12.2025, 14 U 881/25 e, juris Rn. 157). Die Beklagte hat selbst vorgetragen, dass der eigentliche Zweck des Netzwerks darin bestehe, den Nutzern die Möglichkeit zu geben, nahtlos Verbindungen herzustellen, zu kommunizieren und Inhalte mit anderen Nutzern auf der ganzen Welt auszutauschen, unabhängig von ihrem physischen Standort oder geografischer Zugehörigkeit (vgl. Rn. 54 ff. der Klageerwiderung). Sie hat indes nicht näher erklärt, warum hierfür die über die Meta Business-Tools erhobenen Daten zwingend notwendig sind. Ganz im Gegenteil hat sie vorgetragen, dass ein weiterer Zweck der Meta Business-Tools - also der Datenverarbeitung - sei, die Partner bei der Integration ihrer Produkte zu unterstützen und die Effektivität der Werbeanzeigen zu messen. Das ist für den eigentlichen Zweck des Netzwerks unerheblich.

(ddd) Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO

Eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO scheidet aus.

(aaaa) Nach der Rechtsprechung des Gerichtshofs der Europäischen Union setzt dieser Rechtfertigungsgrund voraus, dass die Beklagte gesetzlich verpflichtet wäre, personenbezogene Daten präventiv zu erheben und zu speichern, um jegliche Anfrage einer nationalen Behörde, die darauf abzielt, bestimmte Daten über ihre Nutzer zu erlangen, beantworten zu können (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 132).

(bbbb) Die Beklagte hat solche Umstände nicht vorgetragen. Sonstige Anhaltspunkte für eine gesetzliche Verpflichtung bestehen ebenfalls nicht.

(eee) Art. 6 Abs. 1 UAbs. 1 lit. d DSGVO

Die Datenverarbeitung ist auch nicht nach Art. 6 Abs. 1 UAbs. 1 lit. d DSGVO gerechtfertigt.

(aaaa) Eine Rechtfertigung nach dieser Regelung kommt nur in Betracht, wenn lebenswichtige Interessen zu schützen sind, wie z.B. die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen im Blick hatte (vgl. 46. Erwägungsgrund der DSGVO und EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 136).

(bbbb) Das ist hier nicht der Fall. Der Betreiber eines sozialen Online-Netzwerks, dessen Tätigkeit im Wesentlichen wirtschaftlicher und kommerzieller Natur ist, kann in Anbetracht der Art der von ihm erbrachten Dienste nicht den Schutz eines lebenswichtigen Interesses seiner Nutzer oder einer anderen Person geltend machen, um die Rechtmäßigkeit einer Datenverarbeitung wie der im Ausgangsverfahren in Rede stehenden pauschal in abstrakter und präventiver Weise zu rechtfertigen (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 137).

(fff) Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO

Eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO kommt nicht in Betracht.

(aaaa) Die Verarbeitung ist nach dieser Vorschrift nur rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, etwa im Hinblick auf die Forschung zum Wohle der Gesellschaft oder die Förderung von Schutz, Integrität und Sicherheit, die dem Verantwortlichen übertragen wurde (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 133).

(bbbb) Diese Voraussetzungen sind nicht erfüllt. Die Beklagte hat nicht vorgetragen, dass ihr Aufgaben übertragen wurden, die im öffentlichen Interesse liegen, oder dass ihr öffentliche Gewalt übertragen wurde. Die von der Beklagten mitgeteilten „Sicherheits- und Integritätszwecke“ der Datenverarbeitung genügen hierfür nicht, weil die Tätigkeit der Beklagten als privater Wirtschaftsteilnehmer in erster Linie wirtschaftlichen und kommerziellen Charakter hat. Die vorgetragenen Sicherheits- und Integritätsinteressen betreffen den Schutz der eigenen Server und Leistungsfähigkeit und stehen nicht im öffentlichen Interesse, sondern im kommerziellen Interesse der Beklagten.

An dieser Bewertung ändert auch der ergänzende Vortrag der Beklagten im Schriftsatz vom 26.02.2026 nichts. Dort trägt sie näher zu den Sicherheits- und Integritätszwecken vor, nämlich dass

es bei der Datenverarbeitung um die Erkennung anomaler Aktivitäten gehe, die möglicherweise darauf abzielten, die Dienste der Beklagten zu stören;

ebenso um die Erkennung von feindlichen Akteuren, deren Handlungen gegen die Richtlinien der Beklagten verstoßen könnten, z.B. Hacking-Aktivitäten, Sicherheitsrisiken, insbesondere für Minderjährige, mögliche kriminelle Aktivitäten krimineller Organisationen und Daten aus verbotenen Quellen.

Die Klägerin hat demgegenüber in ihrem Schriftsatz vom 26.02.2026 in wirksamer Weise gemäß § 138 Abs. 4 ZPO mit Nichtwissen bestritten, dass die Verarbeitung ihrer Daten erforderlich und angemessen sei bzw. gewesen sei, um diese angeblich bestehenden Sicherheits- und Integritätsinteressen zu wahren und, dass bei einer fehlenden Zustimmung über die Schaltflächen im Beklagtennetzwerk bzw. bei Fehlen eines Nutzerkontos ausschließlich „Sicherheits- und Integritätszwecke“ mit der streitgegenständlichen Datenverarbeitung verfolgt würden.

Im Übrigen hat dieses Bestreiten für den Rechtstreit keine entscheidungserhebliche Bedeutung:

Zum einen beschreibt die Beklagte, dass durch die Datenübermittlung über die Meta Business-Tools Gefahren für die Beklagte entstehen könnten, zu deren Verhinderung die Verarbeitung der Daten notwendig sei. Diese Argumentation ist in sich selbst unlogisch: Würden die streitgegenständlichen Daten nicht illegal erfasst und an die Beklagte übermittelt, könnten sie auch kein Sicherheitsrisiko darstellen. Inwieweit solche angeblichen Risiken tatsächlich bestehen, ist daher nicht entscheidungserheblich.

Zum anderen bestätigt die Beklagte, dass die streitgegenständliche Datenverarbeitung derart umfassend und zielsicher sei, dass sie ermögliche, schwerkriminelle Straftäter aufzuspüren. Die Beklagte nennt hierzu einige Beispiele und nennt ihre „Erfolge“ als Rechtfertigungsgrund, um die streitgegenständliche Überwachung u. a. bei der Klägerin durchzuführen. Soweit die Beklagte dabei u. a. auf den Schutz Minderjähriger vor sexuellem Missbrauch hinweist, räumt sie damit implizit ein, aus der streitgegenständlichen Datenverarbeitung derart sensible Rückschlüsse ziehen zu können, dass sexuelle Neigungen betroffener Personen erkennbar werden. Damit werden unstreitig besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet. Die faktisch von der Beklagten zur Rechtfertigung ihrer Datenverarbeitung bemühte anlasslose Massenüberwachung in Europa ist nicht durch das Interesse gerechtfertigt, einzelne Straftäter aufzuspüren. Erst recht ist dies nicht die Aufgabe der Beklagten, Daten für eine anlasslose Massenüberwachung zu verarbeiten, weil eine solche ihr nicht im Sinne der oben zitierten Rechtsprechung des Gerichtshofs der Europäischen Union übertragen worden ist.

(ggg) Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO

Schließlich ist die Datenverarbeitung nicht nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gerechtfertigt.

(aaaa) Die Verarbeitung personenbezogener Daten ist nach dieser Regelung nur unter drei kumulativen Voraussetzungen rechtmäßig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris 5. Ls.; OLG Hamm, Urteil vom 15.8.2023, I-7 U 19/23, juris Rn. 206).

(bbbb) Diese Voraussetzungen lassen sich nicht feststellen. Die Beklagte hat nicht dargetan, weshalb nicht von Anfang keine oder eine weniger umfangreiche Erfassung, Weiterleitung, Speicherung und Verwendung der über die Business-Tools erlangten personenbezogenen Daten möglich ist. Sie hat auch nicht mitgeteilt, welche konkreten Daten sie zu welchem Zweck verarbeitet. Der Senat kann daher nicht feststellen, ob die Beklagte überhaupt ein berechtigtes Interesse an der Datenverarbeitung hat. Damit kann auch nicht beurteilt werden, ob die von der Beklagten in allgemeiner Form dargestellten Verarbeitungszwecke gegenüber den Interessen und Grundrechten des Nutzers gemäß Art. 7 und Art. 8 GRCh Vorrang beanspruchen können. Auch wenn die Dienste eines sozialen Online-Netzwerks wie „Instagram“ unentgeltlich sind, kann der Nutzer nicht damit rechnen, dass der Betreiber seine personenbezogenen Daten ohne seine Einwilligung für unbekannte Zwecke verarbeitet. Unter diesen Umständen ist davon auszugehen, dass die Interessen und Grundrechte des Nutzers gegenüber dem Interesse des Betreibers überwiegen (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 117).

(2) Kein Anspruch auf Anonymisierung bzgl. der Daten zu 1. b. und c.

Demgegenüber hat die Klägerin keinen Anspruch auf Anonymisierung der personenbezogenen Daten i.S.v. lit. b. und c. des Auskunftsantrags zu 1. Art. 17 Abs. 1 lit. d DSGVO enthält nur eine Anspruchsgrundlage für eine Löschung der Daten, nicht aber für eine Anonymisierung.

(a) Eine weite Auslegung der Regelung, dass der Begriff des Löschens auch eine Anonymisierung umfasst, kommt nicht in Betracht. Der europäische Verordnungsgeber differenziert zwischen Löschung (Art. 4 Nr. 2 DSGVO), Vernichtung (Art. 4 Nr. 2 DSGVO), Anonymisierung (26. Erwägungsgrund) und Pseudonymisierung (Art. 4 Nr. 5 DSGVO) von Daten, wobei er lediglich den Begriff der Pseudonymisierung definiert. Er hat trotz dieser Differenzierung die Anspruchsgrundlage in Art. 17 Abs. 1 lit. d DSGVO auf die Löschung beschränkt. Schutzzweck des Löschens ist, dass die Daten endgültig nicht mehr verwendbar, irreversibel unleserlich und nicht mehr verarbeitbar sind (Leutheusser-Schnarrenberger/Keppeler, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 3. Aufl., Art. 17 EUV 2016/679 Rn. 43). Die Löschung betrifft den ganzen Teil der Daten. Die Anonymisierung der Daten ist dagegen eine Verfahrensweise, bei der ein Teil der Daten erhalten bleibt, aber die betroffene Person anhand der verbleibenden Daten nicht mehr identifiziert werden kann. Das kann mit einem erheblichen Mehraufwand gegenüber einer Löschung verbunden sein; dafür ist der verbleibende Teil der Daten trotz der Anonymisierung nutzbar. Daher ist die Anonymisierung auch kein Minus zur Löschung, sondern ein Aliud (OLG München, Urteil vom 18.12.2025, 14 U 1314/25 e, juris Rn. 429; vom 18.12.2025, 14 U 881/25 e, juris Rn. 201).

(b) Ohne Erfolg bleibt der Vortrag der Klägerinvertreter im Senatstermin, dass sich die begehrte Anonymisierung der Daten zu 1. b. und c. des Auskunftsantrags zu 1 als „Einschränkung der Verarbeitung“ i.S.v. Art. 18 Abs. 1 lit. b DSGVO rechtfertige. Zum einen handelt es sich bei dieser Norm um eine eigenständige Anspruchsgrundlage, auf welche die Klägerin ihr Klagebegehren zu 2 inhaltlich nicht gestützt hat. Im Übrigen ist die „Einschränkung der Verarbeitung“ in Art. 4 Nr. 3 DSGVO legal definiert und meint die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Das ist erkennbar etwas anderes als die Anonymisierung personenbezogener Daten.

c) Zahlungsantrag zu 3 (Zahlung von Schadensersatz)

Der Zahlungsantrag zu 3 ist mit Blick auf den erstinstanzlich noch beantragten höheren immateriellen Schadensersatz teilweise, hinsichtlich des im Berufungsverfahren noch verbliebenen Umfangs bis auf einen Teil der begehrten Zinsen voll begründet.

aa) Schadensersatz wegen Verstoßes gegen die DSGVO

Die Klägerin hat gegen die Beklagte einen Anspruch auf Schadensersatz wegen Verstoßes gegen die DSGVO in Höhe von 1.500,00 € gemäß Art. 82 Abs. 1 DSGVO.

(1) Die Klägerin macht einen einheitlichen Anspruch auf Schadensersatz gemäß Art. 82 Abs. 1 DSGVO geltend, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen, nämlich der Verwendung der Meta Business-Tools, wurzelt. Das ist nach der Rechtsprechung des Bundesgerichtshofs zulässig (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 16).

(2) Nach der Rechtsprechung des Bundesgerichtshofs erfordert ein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO einen Verstoß gegen die DSGVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 21 mwN). Dabei kommt es nicht darauf an, ob einer oder mehrere Verstöße gegen die DSGVO festgestellt werden können, weil der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führt (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 25 mwN).

Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines Schadens verlangt. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor. Die Exkulpation obliegt nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 21 mwN).

(3) Die Anspruchsvoraussetzungen sind dem Grunde nach erfüllt.

(a) Die Vorgehensweise der Beklagten verstößt u.a. gegen den Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c, Art. 25 Abs. 2 S. 1 und 3 DSGVO (s.o.). Die Datenverarbeitung ist rechtswidrig.

(b) Die Klägerin hat einen immateriellen Schaden erlitten.

(aa) Nach der Rechtsprechung des Europäischen Gerichtshofs und des Bundesgerichtshofs ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass selbst ein kurzzeitiger Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten ausreichen kann, um einen „immateriellen Schaden“ zu verursachen, sofern nachgewiesen wird, dass tatsächlich ein in dem Kontrollverlust bestehender Schaden - so geringfügig er auch sein mag - entstanden ist, ohne dass der Nachweis zusätzlicher spürbarer negativer Folgen erforderlich wäre (EuGH, Urteil vom 04.10.2024, C-200/23, juris Rn. 145, 156; BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 30). Steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar, ohne dass es sich daraus entwickelnder besonderer Befürchtungen oder Ängste der betroffenen Person bedarf (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 31).

(bb) Die Voraussetzungen sind erfüllt. Für die Klägerin stellt die Tatsache, dass eine erhebliche Menge personenbezogener Daten, die ihrem Benutzerkonto zugeordnet sind oder die ihr - z.B. mittels eines Abgleiches von IP-Adressen - zugeordnet werden können, sich auf Servern der Beklagten in der ganzen Welt und bei Partnern, Anbietern für Messlösungen, Dienstleistern und Dritten befinden (vgl. S. 72 der Anlage K 1), einen erheblichen Kontrollverlust dar. Als Dritte, mit denen Informationen geteilt werden, bezeichnet die Datenschutzrichtlinie der Beklagten Werbetreibende, Unternehmen, die Produkte für die Beklagte vermarkten oder die mit Kundenservice oder Umfragen beauftragt werden und Forscher (vgl. S. 48 f. der Anlage K 1). Ausweislich der Datenschutzrichtlinie der Beklagten (vgl. S. 67 ff. der Anlage K 1) behält die Beklagte Daten so lange, wie sie benötigt werden, um die Produkte der Beklagten bereitzustellen, rechtliche Verpflichtungen zu erfüllen oder bestimmte Interessen zu schützen. Der Suchverlauf des Nutzers wird gespeichert, bis der Nutzer ihn löscht, nur die Informationen zum verwendeten Gerät oder einem Standort werden nach sechs Monaten automatisch gelöscht. Es ist damit - auch in zeitlicher Hinsicht - von einem erheblichen Kontrollverlust auszugehen.

(cc) Diesem Kontrollverlust haben die Beklagtenvertreter im Senatstermin ohne Erfolg den oben bereits gewürdigten teils neuen Vortrag zur Wirkungsweise des Meta-Pixel und zu der Bedeutung der Entscheidung des Nutzers über die Cookie-Banner beim Aufrufen einer Drittwebsite entgegengehalten. Aus den obigen Gründen ist dieser Vortrag zum einen präkludiert und zum anderen rechtlich unerheblich. Ein Nutzer hat es - die Funktionsweise des Meta-Pixels wie im Verhandlungstermin dargelegt unterstellt - gleichwohl nicht selbst in der Hand, ob - was die gemeinsam verantwortliche Beklagte nicht kontrolliert - die Meta Business-Tools durch den Drittwebsite-Betreiber richtig implementiert werden und damit auch richtig funktionieren.

(c) Der erforderliche Kausalzusammenhang zwischen Schaden und Verstoß gegen die DSGVO ist gegeben, weil der Schaden die unmittelbare Folge der unrechtmäßigen Datenverarbeitung ist, also durch den Verstoß gegen den Grundsatz der Datenminimierung entstanden ist.

(d) Das Verschulden der Beklagten wird nach Art. 82 DSGVO vermutet, weil sich der Verantwortliche gemäß Art. 82 Abs. 3 DSGVO zu exkulpieren hat. Die Beklagte hat sich nicht entlastet.

(e) Der durch den Kontrollverlust entstandene immaterielle Schaden ist in Übereinstimmung mit der nicht zu beanstandenden Bewertung des Landgerichts gemäß § 287 ZPO mit 1.500,00 € zu bewerten.

(aa) Für die Schätzungshöhe ist zu berücksichtigen, dass in Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadensersatzanspruchs von einer „vollständigen und wirksamen“ Entschädigung auszugehen ist, wenn sie den aufgrund des Verstoßes gegen die Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen in der Lage ist. Ob einer oder mehrere Verstöße gegen die DSGVO festgestellt werden können, kann für die Schadensbemessung dahinstehen. Da der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion und keine Abschreckungs- oder Straffunktion erfüllt, führt das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes (s.o.). Bei der Schätzung des Schadens sind insbesondere die Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Daneben spielen die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), seine Dauer und die Möglichkeit der Wiedererlangung der Kontrolle, etwa durch Entfernung einer Veröffentlichung aus dem Internet oder Änderung der betroffenen personenbezogenen Daten (zum Beispiel Rufnummernwechsel oder neue Kreditkartennummer) eine Rolle (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 99).

(bb) Der Senat hält es nach einer Gesamtabwägung aller maßgeblichen Umstände für erforderlich und ausreichend, den notwendigen Ausgleich für den eingetretenen Kontrollverlust wie das Landgericht mit 1.500,00 € zu beziffern. Der Verstoß gegen die DSGVO betrifft den persönlichen Lebensbereich der Klägerin. Die Datenverarbeitung umfasst dabei auch sehr sensible Informationen, die für die Vertragszwecke nicht im Ansatz erforderlich waren. Die Klägerin kann die personenbezogenen Daten gar nicht mehr oder nur noch mit ganz erheblichem Aufwand kontrollieren, insbesondere soweit die Beklagte diese an Dritte und in andere Länder weitergeleitet hat. Die Dauer des Verstoßes gegen u.a. den Grundsatz der Datenminimierung erstreckt sich über mehrere vergangene Jahre und wirkt in die Zukunft. Die Datenschutzrichtlinie der Beklagten geht davon aus, dass der Suchverlauf gespeichert bleibt, bis der Nutzer ihn löscht; nur Informationen zum verwendeten Gerät oder einem Standort werden nach sechs automatisch Monaten gelöscht (vgl. S. 67 ff. der Anlage K 1). Die Klägerin hat das Gefühl entwickelt, nicht mehr sicher und von der Beklagten beobachtet zu sein (Protokoll vom 20.11.2024, Bl. 1419 eGA I) und hat im Verhandlungstermin vor dem Senat bestätigt, dass sie im Internet jetzt bewusster und auch vorsichtiger handele, seit sie von der Verfahrensweise der Beklagten wisse. Ein unbeschwertes Surfen im Internet ist ihr angesichts der umfänglichen Verbreitung der Meta Business-Tools nicht mehr möglich. Demgegenüber kann die Beklagte die unrechtmäßige Datenverarbeitung jedenfalls in ihrer Einflusssphäre unverzüglich und umfassend beenden. Der Senat geht davon aus, dass die Beklagte die volle Kontrolle über die von ihr verarbeiteten Daten hat.

bb) Schadensersatz wegen Verletzung des allgemeinen Persönlichkeitsrechts

Die Klägerin hat gegen die Beklagte keinen weitergehenden Schadensersatzanspruch wegen Verletzung des allgemeinen Persönlichkeitsrechts gemäß § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG.

(1) Zwar kann nach der Rechtsprechung des Bundesgerichtshofs die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts einen eigenen Anspruch auf eine Geldentschädigung begründen, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann. Die Zubilligung einer Geldentschädigung unter diesen Voraussetzungen findet ihre sachliche Berechtigung in dem Gedanken, dass das Persönlichkeitsrecht gegenüber schwerwiegenden Beeinträchtigungen anderenfalls ohne ausreichenden Schutz bliebe mit der Folge, dass der Rechtsschutz der Persönlichkeit verkümmern würde (BGH, Urteil vom 12.03.2024, VI ZR 1370/20, juris Rn. 70).

(2) Der Senat ist jedoch der Auffassung, dass die Beeinträchtigung der Klägerin schon durch den Zuspruch eines angemessenen Betrages gemäß Art. 82 DSGVO befriedigend aufgefangen werden kann. Im Berufungsverfahren hat die Klägerin im Übrigen mangels eigener Berufung oder Anschlussberufung einen höheren Betrag als die erstinstanzlich zuerkannten, ihr aus Art. 82 Abs. 1 DSGVO zustehenden 1.500,00 € nicht mehr weiterverfolgt. Vor diesem Hintergrund kommt es auf den von den Klägerinvertretern im Senatstermin angesprochenen Gesichtspunkt, dass nur deutlich höhere immaterielle Schadensersatzansprüche von deutlich mehr Betroffenen die Beklagte wirtschaftlich so träfen, dass sie mit der Fortsetzung ihrer Praxis keine Milliardengewinne mehr erziele, nicht entscheidungserheblich an.

cc) Zinsen

Die Klägerin hat gegen die Beklagte einen Anspruch auf Rechtshängigkeitszinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 02.03.2024 gemäß §§ 291, 288 Abs. 1 S. 2 BGB. Das weitergehende Zinsbegehren ist unbegründet.

Die Klage ist mit Zustellung am 01.03.2024 (Bl. 230 eGA I) rechtshängig (§§ 253 Abs. 1, 261 Abs. 1 ZPO) geworden. Der Zinsanspruch besteht ab dem Folgetag (§ 187 Abs. 1 BGB analog).

Demgegenüber besteht kein weitergehender Anspruch auf Verzugszinsen aus §§ 280 Abs. 1, Abs. 2, 286, 288 BGB. Die Zahlungsaufforderung der Klägerin vom 30.05.2023 (Anlage K 3) enthält - ungeachtet der Frage, ob die Beklagte das Schreiben tatsächlich erhalten hat oder nicht - eine Zuvielforderung, weil die Klägerin die Beklagte zur Zahlung eines Schadensersatzes in Höhe von 5.000,00 € aufforderte. Die Forderung eines zu hohen Betrags ist nur dann eine wirksame Mahnung, wenn der Schuldner die Erklärung des Gläubigers nach den Umständen des Falls als Aufforderung zur Bewirkung der tatsächlich geschuldeten Leistung verstehen muss und der Gläubiger zur Annahme der gegenüber seinen Vorstellungen geringeren Leistung bereit ist (vgl. Grüneberg, in: Grüneberg, BGB, 85. Aufl., § 286 Rn. 20 mwN). Diese Umstände lassen sich der Zahlungsaufforderung nicht entnehmen.

d) Freistellungsantrag zu 4

Der Freistellungsantrag zu 4 ist unbegründet.

Die Klägerin hat gegen die Beklagte keinen Anspruch auf Freistellung von vorgerichtlichen Rechtsanwaltskosten. Die Klägerin ist rechtsschutzversichert und hat keinen Schaden erlitten. Aus dem erstinstanzlichen Kostenheft ergibt sich, dass eine Rechtschutzversicherung den Gerichtskostenvorschuss eingezahlt hat (vgl. Bl. VIII des Kostenhefts). Der Senat geht davon aus, dass die Rechtsschutzversicherung entsprechend dem Zweck des Rechtsschutzversicherungsvertrags die vorgerichtlichen Rechtsanwaltskosten getragen hat, so dass ein gesetzlicher Forderungsübergang nach § 86 Abs. 1 Satz 1 VVG erfolgt ist. Für eine Rückabtretung des Schadensersatzanspruchs bestehen keine Anhaltspunkte.

C.

Es bedurfte weder des von der Beklagten beantragten Schriftsatznachlasses noch von Amts wegen der Gewährung einer Stellungnahmefrist zugunsten der Parteien. Der Senat hat die von der Beklagtenvertreterin genannten prozessualen Fragen bezüglich des Verzichts nicht zu Lasten der Beklagten entschieden und mit Ausnahme des klägerischen Bestreitens der von der Beklagten mit Schriftsatz vom 26.02.2026 behaupteten Angemessenheit der Datenverarbeitung keinen Tatsachenvortrag oder Rechtsfragen berücksichtigt, die in dem Schriftsatz der Klägerin vom 26.02.2026, von Anwalt zu Anwalt zugestellt am 06.03.2026, neu angesprochen worden wären. Der vom Klägerinvertreter in der mündlichen Verhandlung erbetenen weitergehenden Klarstellung, auf welcher tatsächlichen Grundlage der Senat vorläufig von einer bereits durch die Beklagte erteilten Auskunft zur Verknüpfung von Daten mit dem Konto der Klägerin ausgehe, und einer entsprechenden Stellungnahmefrist bedurfte es mit Blick auf die abweichende Beurteilung dieser Frage nach der Endberatung ebenfalls nicht.

Die Kostenentscheidung beruht für die erste Instanz auf § 92 Abs. 1 ZPO und für das Berufungsverfahren auf §§ 92 Abs. 2 Nr. 1, 97 Abs. 1 ZPO, die Entscheidung zur vorläufigen Vollstreckbarkeit folgt aus den §§ 708 Nr. 10 (vermögensrechtliche Streitigkeit nur hinsichtlich der Zahlungsbegehren), 709 (nichtvermögensrechtliche Hauptsachetenöre zu 1 und 2), 711 ZPO.

Der Senat sieht am Maßstab des § 543 Abs. 1 und 2 ZPO gemessen keine Veranlassung, wie von der Beklagten beantragt die Revision zuzulassen. Das Urteil hält sich an die Vorgaben der zitierten höchstrichterlichen Rechtsprechung und es besteht keine Divergenz zu anderweitigen obergerichtlichen Entscheidungen in höchstrichterlich ungeklärten grundlegenden Rechtsfragen.

Es wurde Nichzulassungsbeschwerde beim Bundesgerichtshof eingelegt.