Rechtsprechung / Oberlandesgericht Hamm

Oberlandesgericht Hamm Urteil vom 24.06.2026 – 8 U 56/25

8. Zivilsenat · ECLI:DE:OLGHAM:2026:0624.8U56.25.00

Gründe

A.

Die Beklagte betreibt u.a. das soziale Netzwerk Facebook, das der Kläger nutzt, indem er dort ein Benutzerkonto führt, das er am 18.11.2010 mithilfe seiner E-Mail-Adresse email1@web.de eröffnete. Er nimmt die Beklagte auf Feststellung der Nichtgestattung der Erfassung, Weiterleitung, Speicherung und Verwendung personenbezogener Daten im Zusammenhang mit den sog. Meta Business-Tools durch den Nutzungsvertrag der Parteien, auf Unterlassung der Erfassung, Weiterleitung, Speicherung und Verwendung personenbezogener Daten und auf Löschung von Daten in Anspruch. Außerdem begehrt der Kläger von der Beklagten Schadensersatz wegen angeblicher Verstöße gegen die DSGVO durch Verwendung der Meta Business-Tools.

Wegen des Vorbringens und der Anträge erster Instanz wird gemäß § 540 Abs. 1 S. 1 ZPO auf den Inhalt des angefochtenen Urteils verwiesen.

Das Landgericht hat der Klage teilweise stattgegeben. Es hat die Beklagte teilweise zu der begehrten Unterlassung und zur Anonymisierung bzw. wahlweisen Löschung personenbezogener Daten des Klägers verurteilt, außerdem zur Zahlung immateriellen Schadensersatzes von 500,00 € nebst Zinsen und zur Freistellung von vorgerichtlichen Rechtsanwaltskosten i.H.v. 220,27 €. Die weitergehende Klage hat es abgewiesen. Auf die Begründung des angegriffenen Urteils wird verwiesen.

Gegen dieses Urteil richten sich die wechselseitigen Berufungen der Parteien.

Mit ihrer Berufung verfolgt die Beklagte ihren Klageabweisungsantrag weiter. Sie rügt insbesondere Folgendes:

Der Kläger habe während des gesamten Verfahrens unzulässigerweise versucht, sich selbst der grundlegendsten Darlegungs- und Beweislast zu entziehen, nach der er substantiiert hätte darlegen und beweisen müssen, dass die Beklagte tatsächlich seine personenbezogenen Daten verarbeite. Das Landgericht habe fehlerhaft angenommen, dass die Ausführungen des Klägers hinreichend substantiiert seien. „Einzelne, konkrete Datenverarbeitungsvorgänge“, die der Kläger ausdrücklich nicht beanstande, seien Voraussetzung für die Erhebung einer zivilprozessualen Klage unter Berufung auf einen Verstoß gegen die DSGVO. Der Kläger habe den Nachweis versäumt, ob sie, die Beklagte, tatsächlich seine Daten über die Meta Business-Tools erhalten oder verarbeitet habe und, sofern dies der Fall wäre, wie eine solche Verarbeitung unrechtmäßig sein könnte und wie der Kläger durch eine solche Verarbeitung beeinträchtigt sein würde.

Der Kläger habe nicht hinreichend substantiiert, inwiefern er von der von ihm beanstandeten Datenverarbeitung individuell betroffen sei. Es fehle an konkretem Vortrag dazu, welche Daten des Klägers die Beklagte angeblich verarbeitet habe, von welchen Websites oder Apps diese stammten und wann dies geschehen sei. Die Beklagte treffe keine sekundäre Darlegungslast.

Selbst wenn die Behauptungen des Klägers unbestritten wären, stützten sie die Klageanträge nicht. Sie ließen das Gericht im Unklaren darüber, was die Beklagte zu löschen, zu anonymisieren oder von der Verarbeitung zu unterlassen habe und auf welcher Grundlage der Schadenersatz zu berechnen sei.

Sie, die Beklagte, führe keine rechtswidrige Verarbeitung von Meta Business-Tools-Daten zur Bereitstellung personalisierter Werbung durch. Sie stütze sich für die Verarbeitung der über die Meta Business-Tools erhaltenen Nutzerdaten auf die Rechtsgrundlage der vertraglichen Notwendigkeit („Erfüllung eines Vertrages“), die sich aus den in der Datenschutzrichtlinie (Anlage K 1) beschriebenen Inhalten ergebe.

Für Nutzer, die „Meta-Cookies auf anderen Apps und Websites“ nicht ausdrücklich zuließen, verwende sie, die Beklagte, die über Cookies und ähnliche Technologien auf anderen Apps und Webseiten gesammelten Daten nur zu Sicherheits- und Integritätszwecken. Die Verarbeitung von Meta Business-Tools-Daten zu Sicherheits- und Integritätszwecken basiere auf der wichtigen Aufgabe, die Sicherheit der Nutzer zu gewährleisten und die Datenschutzrichtlinien einzuhalten.

Das Landgericht habe dem Löschungs- und Anonymisierungsantrag rechtsfehlerhaft stattgegeben. Dieser sei schon als unzulässig abzuweisen, weil er zu unbestimmt sei und die erforderliche Voraussetzung einer „Besorgnis nicht rechtzeitiger Leistung“ gemäß § 259 ZPO fehle. In der Sache rechtfertige der angebliche Widerruf der Einwilligung den Löschungs- und Anonymisierungsantrag nicht.

Das Landgericht habe rechtsfehlerhaft angenommen, dass der Kläger einen Anspruch auf Schadenersatz gemäß Art. 82 DSGVO habe. Eine Entschädigung stehe dem Kläger nicht zu. Aufgrund der völlig unterschiedlichen tatsächlichen und rechtlichen Umstände sei das Landgericht zu Unrecht der Annahme gewesen, dass die Feststellungen des Bundesgerichtshofs in der Scraping-Entscheidung hier anwendbar seien. Unabhängig davon habe der Kläger keinen Kontrollverlust erlitten. Bereits sein Vortrag genüge nicht den Anforderungen, da er sich lediglich in abstrakten, verallgemeinerten Behauptungen erschöpfe. Das Landgericht habe auch übersehen, dass die bloß hypothetische Befürchtung des Missbrauchs von Daten keinen Kontrollverlust im Sinne der Rechtsprechung des Bundesgerichtshofes darstelle.

Der Antrag auf Freistellung von vorprozessualen Anwaltskosten sei abzuweisen, u.a. deshalb, weil der Kläger rechtsschutzversichert sei.

Die Beklagte beantragt,

das Urteil des Landgerichts Bochum vom 08.05.2025, Az. I-1 O 20/24, abzuändern, soweit der Klage stattgegeben wurde, und die Klage insgesamt abzuweisen.

Der Kläger beantragt,

die Berufung der Beklagten zurückzuweisen;

das erstinstanzliche Urteil des Landgericht Bochum vom 08.05.2025 abzuändern und neu zu fassen wie folgt:

„1. Es wird festgestellt, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks ”Facebook” unter der E-Mail-Adresse „email1@web.de“ der Beklagten die Erfassung mit Hilfe der Meta Business Tools, die Weiterleitung an die Server der Beklagten, die dortige Speicherung und anschließende Verwendung von folgenden personenbezogenen Daten nicht gestattet:

a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d. h.

E-Mail der Klagepartei

Telefonnummer der Klagepartei

Vorname der Klagepartei

Nachname der Klagepartei

Geburtsdatum der Klagepartei

Geschlecht der Klagepartei

Ort der Klagepartei

Externe IDs anderer Werbetreibender (von der Meta Ltd. „external_ID” genannt)

IP-Adresse des Clients

User-Agent des Clients (d. h. gesammelte Browserinformationen)

interne Klick-ID der Meta Ltd.

interne Browser-ID der Meta Ltd.

Abonnement-ID

Lead-ID

anon_id

sowie folgende personenbezogene Daten der Klagepartei

b) auf Webseiten die URLs der Webseiten samt ihrer Unterseiten

- der Zeitpunkt des Besuchs der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist),

- die von der Klagepartei auf der Webseite angeklickten Buttons sowie

- weitere von der Meta „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren;

c) in mobilen Dritt-Apps

- der Name der App sowie

- der Zeitpunkt des Besuchs

- die von der Klagepartei in der App angeklickten Buttons sowie

- die von der Meta „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren.

2. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten der Klagepartei gem. dem Antrag zu 1. mit Hilfe der Meta Business Tools zu erfassen, an die Server der Beklagten weiterzuleiten, die Daten dort zu speichern und anschließend zu verwenden.

3. Die Beklagte wird verurteilt, die über die aktuelle Speicherung hinausgehende Verarbeitung i. S. d. Art. 4 Nr. 2 DSGVO sämtlicher unter dem Antrag zu 1 a., b. und c. aufgeführten, seit dem 25.05.2018 bereits von der Beklagten verarbeiteten personenbezogenen Daten bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, bis zur Erfüllung des Löschungsanspruchs nach rechtskräftigem Abschluss des Verfahrens zu unterlassen, insbesondere diese nicht an Dritte zu übermitteln.

4. Die Beklagte wird verpflichtet, sämtliche gem. dem Antrag zu 1 a. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten der Klagepartei einen Monat nach rechtskräftigem Abschluss des Verfahrens vollständig zu löschen und der Klagepartei die Löschung zu bestätigen sowie sämtliche gem. dem Antrag zu 1 b. sowie c. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen.

5. Die Beklagte wird verurteilt, an die Klagepartei eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 1.000,00 Euro beträgt, nebst Zinsen i. H. v. fünf Prozentpunkten über dem Basiszinssatz seit dem 18.07.2023, zu zahlen.

6. Die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten i.H.v. 627,13 Euro freizustellen.“

Die Beklagte beantragt,

die klägerische Berufung zurückzuweisen.

Der Kläger verteidigt das angefochtene Urteil unter Wiederholung und Vertiefung seines erstinstanzlichen Vorbringens gegen die Berufung der Beklagten und macht mit seiner eigenen Berufung im Wesentlichen Folgendes geltend:

Das Landgericht verkenne, dass die Klage in vollem Umfang zulässig sei. Insbesondere sei auch der Feststellungsantrag zu Ziff. 1 zulässig. Er, der Kläger, habe ein schutzwürdiges Interesse an der Feststellung des streitigen Rechtsverhältnisses. Es komme ihm mit dem gestellten Antrag gerade darauf an, das Netzwerk der Beklagten zukünftig im gesetzlich zulässigen Rahmen nutzen zu können, ohne dass die Beklagte rechtswidrig personenbezogene Daten von ihm verarbeite. Dem Interesse an der begehrten Feststellung könne nicht durch die übrigen Anträge entsprochen werden. Die Feststellung sei insbesondere erforderlich, um eine Gewissheit über das aktuell bestehende Rechtsverhältnis zu schaffen und eine erneute gerichtliche Feststellung zu vermeiden, sollten sich aus diesem künftig weitere Schäden ergeben. Die Rechte aus dem Nutzungsvertrag der Parteien über die Nutzung des Netzwerks, d. h. die behaupteten Rechte der Beklagten, zu denen diese in der Datenschutzrichtlinie informiert und welche sie im Rahmen der Nutzung ihrer Dienstleistung gegenüber dem Kläger in Anspruch nehme, stellten das konkrete, feststellungsfähige Rechtsverhältnis dar. Zukünftige Schäden durch weitere Eingriffe in seine, des Klägers, informationelle Selbstbestimmung gem. § 823 Abs. 1 BGB seien offensichtlich zu besorgen. Die Möglichkeit der künftigen Schädigung bestehe auch dann, wenn das Gericht den übrigen gestellten Anträgen stattgebe. Zur Erreichung des Antragsziels stehe ihm, dem Kläger, kein einfacherer und billigerer Weg zur Verfügung.

Der Unterlassungsantrag sei in vollem Umfang begründet, nicht nur hinsichtlich der Speicherung der benannten Daten auf den Servern der Beklagten. Mit der tenorierten Formulierung sei er, der Kläger, erheblich beschwert. Es sei zur Wahrung effektiven Rechtsschutzes erforderlich, dass auch die der endgültigen Speicherung auf den Servern der Beklagten vorgelagerten Datenverarbeitungsvorgänge wirksam verhindert würden. Diese stellten bereits eine Erstverarbeitung und Speicherung i. w. S. nach Art. 4 Nr. 2 DSGVO dar. Die DSGVO berechtige betroffene Personen zur Gewährung effektiven Rechtsschutzes gerade nicht nur dazu, die Unterlassung einer erneuten Speicherung ihrer betreffenden Daten zu fordern, sondern ferner auch, weitere Datenverarbeitungsvorgänge zu verhindern. Die Ersterfassung durch die Business Tools der Beklagten habe nach der unstreitigen technischen Ausgestaltung zur Folge, dass diese Daten automatisch an die Server der Beklagten übermittelt würden. Würde nur die dortige Speicherung verhindert, nicht aber die vorgelagerte Erfassung und Übermittlung, würde dauerhaft die serverseitige Speicherung drohen. Die Ersterfassung bzw. Speicherung durch die Business Tools sei zumindest noch in Ansätzen für ihn, den Kläger, technisch nachvollziehbar. Mit der Weiterleitung der klägerischen Daten an die Server der Beklagten trete ein vollständiger Kontrollverlust ein; ob die Beklagte die Daten dort speichere oder dies gem. einer rechtskräftigen Verurteilung unterlasse, liege im vollständigen Kontrollbereich der Beklagten, der er, der Kläger, dann vertrauen müsste. Die ihm alleinig zustehende Hoheit hinsichtlich der Kontrolle über seine personenbezogenen Daten hätte er zu diesem Zeitpunkt bereits verloren. Der Begriff der Speicherung sei im Übrigen weiter zu fassen als seitens des Landgerichts angenommen. Soweit dieses meine, dass ihm, dem Kläger, ein Anspruch auf Unterlassung nach Art. 17 DSGVO verwehrt sei, da es ihm in der Sache nicht um die Unterlassung einer (erneuten) Speicherung gehe, verkenne es, dass die DSGVO der betroffenen Person zur Gewährung effektiven Rechtsschutzes gerade nicht nur das Recht zuerkenne, die Unterlassung einer erneuten Speicherung ihrer betreffenden Daten zu fordern, sondern ein solches Recht ferner auch auf weitere Datenverarbeitungsvorgänge erstrecke.

Das Landgericht habe zudem verkannt, dass der Antrag zu 3. aus denselben Gründen begründet sei.

Der Antrag auf Geldentschädigung bzw. immateriellen Schadenersatz sei ebenfalls vollumfänglich begründet. Das Landgericht habe den Schadensersatzantrag nach Art. 82 DSGVO zwar bejaht, den immateriellen Schaden jedoch deutlich zu niedrig beziffert. Es verkenne, dass der immaterielle Schaden durch den tenorierten Betrag nicht ausgeglichen werden könne. Er, der Kläger, werde durch das Verhalten der Beklagten ganz erheblich in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt und sei einem umfänglichen Kontrollverlust hinsichtlich des Verbleibs und der Verarbeitung seiner personenbezogenen Daten ausgesetzt, der darin bestehe, dass er nicht mehr wisse und nicht wissen könne, was die Beklagte über ihn wisse. In vergleichbaren Parallelverfahren habe landgerichtliche Rechtsprechung Klägern jeweils eine Entschädigung i.H.v. 5.000,00 € zugesprochen. Der Anspruch auf Geldentschädigung nach § 823 Abs. 1 BGB i. V. m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG werde vom Landgericht nicht erwähnt. Insoweit sei nicht erkennbar, dass es sich mit dem klägerischen Vortrag, der sich insoweit fast ausschließlich mit dem Geldentschädigungsanspruch nach nationalem Recht befasst habe, im Ansatz auseinandergesetzt habe. Dies wäre für die Bemessung der Höhe der Geldentschädigung entscheidend gewesen. Die vorliegende erhebliche Beeinträchtigung des Persönlichkeitsrechts genüge, die bereits in dem Umstand begründet sei, dass er, der Kläger, aufgrund der unstreitigen Verarbeitung seiner Daten und der ebenfalls unstreitigen Wirkungsweise der Business Tools berechtigterweise weiterhin jederzeit mit einer Aufzeichnung seines Surfverhaltens rechnen müsse und nun nicht wisse und auch nicht wissen könne, was die Beklagte über ihn aufgezeichnet habe und wie sie dieses Wissen verwende. Die Business Tools der Beklagten befänden sich auf vielen größeren Webseiten und auf zahlreichen Apps. Dort verarbeiteten sie im Hintergrund umfassende Datenmengen, was insbesondere die Erstellung eines Persönlichkeitsprofils ermögliche. Auf erfassbare pathologische Beeinträchtigungen komme es auch bei diesem Anspruch nicht an. Der effektive Persönlichkeitsschutz und die Genugtuungsfunktion rechtfertigten einen weit höheren als den angegebenen Mindestbetrag.

Ebenso verkenne das Landgericht, dass der Antrag zu 6. auf Freistellung von vorgerichtlichen Rechtsanwaltskosten in vollem Umfang begründet sei. Er, der Kläger, habe einen Anspruch auf Freistellung von den vorgerichtlichen Rechtsanwaltskosten nach § 257 S. 1 BGB gegen die Beklagte. Diese Kosten seien nach Art. 82 Abs. 1 DSGVO, § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG, §§ 280, 286 BGB, sowie nach §§ 280, 241 Abs. 2 BGB, jeweils i. V. m. § 249 Abs. 1 BGB, ersatzfähig. Das Landgericht habe den Antrag auf Freistellung von vorgerichtlichen Rechtsanwaltskosten zwar als begründet erachtet; die zugesprochene Freistellung in ihrer Höhe jedoch infolge der teilweisen Unbegründetheit der übrigen Anträge geringer als beantragt zugesprochen. Hätte das Landgericht die Anträge richtigerweise vollumfänglich zugesprochen, hätte es auch den Antrag auf Freistellung von vorgerichtlichen Rechtsanwaltskosten in der beantragten Höhe zusprechen müssen. Im Übrigen sei ein Prozessauftrag nur aufschiebend bedingt erteilt worden und habe seine, des Klägers, Rechtsschutzversicherung die außergerichtlichen Kosten nicht gedeckt.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt des angefochtenen Urteils sowie der gewechselten Schriftsätze nebst Anlagen verwiesen.

B.

Die Berufung der Beklagten hat nur in geringem Umfang Erfolg, denn sie ist zulässig, aber überwiegend unbegründet, während die zulässige Berufung des Klägers überwiegenden Erfolg hinsichtlich der Feststellungs- und Unterlassungsanträge sowie der Höhe der von ihm begehrten immateriellen Entschädigung hat.

I. Zulässigkeit der Berufungen

1. Die Berufung der Beklagten ist zulässig. Sie hat ihr Rechtsmittel form- und fristgerecht eingelegt (§§ 517, 519 ZPO) und begründet (§ 520 ZPO).

Der Inhalt der Berufungsbegründung ist am Maßstab des § 520 Abs. 3 S. 2 Nr. 2 u. 3 ZPO gemessen ausreichend. Die rechtlichen Berufungsangriffe im Sinne des § 520 Abs. 2 S. 2 Nr. 2 ZPO bestehen zwar überwiegend aus in einer Vielzahl vergleichbarer Verfahren verwendeten Textbausteinen, nehmen aber bzgl. jedes angegriffenen Klageantrags an verschiedenen Stellen hinreichenden Bezug auf die Gründe des angefochtenen Urteils.

2. Die Berufung des Klägers ist ebenfalls zulässig, insbesondere form- und fristgerecht eingelegt (§§ 517, 519 ZPO) und begründet (§ 520 ZPO) worden.

Auch der Inhalt der Berufungsbegründung des Klägers ist am Maßstab des § 520 Abs. 3 S. 2 Nr. 2 u. 3 ZPO gemessen ausreichend. Auch seine rechtlichen Berufungsangriffe im Sinne des § 520 Abs. 2 S. 2 Nr. 2 ZPO bestehen zwar überwiegend aus in einer Vielzahl vergleichbarer Verfahren verwendeten Textbausteinen, nehmen aber bzgl. der teilweisen Klageabweisung an verschiedenen Stellen hinreichenden Bezug auf die Gründe des angefochtenen Urteils.

II. Begründetheit der Berufungen

Die Berufung der Beklagten ist nur hinsichtlich der zu Unrecht teilweise zugesprochenen Freistellung des Klägers von vorgerichtlichen Rechtsanwaltskosten begründet, die Berufung des Klägers, soweit er Feststellung, weitergehende Unterlassung und höheren immateriellen Schadensersatz begeht.

1. Zulässigkeit der Klage

Die Klage ist zulässig.

a) Internationale Zuständigkeit

Die - in jeder Lage des Verfahrens von Amts wegen zu prüfende (vgl. nur BGH, NJOZ 2011, 1278 Rn. 15, beck-online) - internationale Zuständigkeit deutscher Gerichte folgt aus Art. 79 Abs. 2 S. 2 und 82 Abs. 1 DSGVO und aus Art. 17 Abs. 1 lit. c, 18 Abs. 1 Alt. 2 Brüssel Ia-VO. Der Kläger hat seinen Aufenthaltsort bzw. Wohnsitz in Deutschland und ist Verbraucher.

b) Anwendung deutschen Rechts

Die Anwendung deutschen Rechts zwischen den Parteien für die Beurteilung der Zulässigkeit und Begründetheit der Klage folgt aus der Rechtswahl der Parteien in der Zustimmung zu den Nutzungsbedingungen der Beklagten (vgl. Anlage B 2) gemäß Art. 3 Abs. 1, 6 Abs. 2 Rom I-VO, weil der Kläger seinen gewöhnlichen Aufenthalt in Deutschland hat und Verbraucher ist.

c) Bestimmtheit der Klagegegenstände gemäß § 253 Abs. 2 Nr. 2 ZPO

Nicht nur die bezifferten Zahlungs- und Freistellungsanträge zu 5 und 6, sondern auch der Feststellungsantrag zu 1, die Unterlassungsanträge zu 2 und 3 sowie der Löschungs-/Anonymisierungsantrag zu 4 haben entgegen der Berufungsrüge der Beklagten hinreichend bestimmte Streitgegenstände i.S.v. § 253 Abs. 2 Nr. 2 ZPO.

aa) Nach dieser Norm muss die Klageschrift die bestimmte Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs sowie einen bestimmten Antrag enthalten. Unter Gegenstand ist nicht das gegenständliche Objekt der Klage (häufig fehlt ein solches), unter Grund nicht die rechtliche Anspruchsgrundlage zu verstehen. Gemeint ist vielmehr der Sachverhalt, aus dem der Kläger den Klageanspruch herleitet. Der Sachverhalt ist so konkret darzulegen, dass er den Anspruch individualisiert, d.h. von anderen Ansprüchen abgrenzt. Allerdings ist für die Ordnungsmäßigkeit und damit Zulässigkeit der Klage nur so viel vorzutragen, dass der Klageanspruch eindeutig identifizierbar ist (BGH, NJW 2000, 3492, 3493; BGH, MDR 2004, 824); eine vollständige Beschreibung des Lebenssachverhalts, wie sie zur substantiierten Darlegung des Klageanspruchs (und damit für die Begründetheit der Klage) erforderlich sein kann (vgl. Greger, in: Zöller, ZPO, 36. Aufl., Vor § 253 Rn 23 f.), wird nicht verlangt (BGH, NJW 2016, 2747; Greger, in: Zöller, ZPO, 36. Aufl., § 253 Rn. 10/11). Der Klageantrag bestimmt Art und Umfang des Rechtsschutzbegehrens (Streitgegenstand, vgl. Vollkommer, in: Zöller, ZPO, 36. Aufl., Einl. Rn 63). Er bindet das Gericht (§ 308 ZPO) und bestimmt durch Erfolg oder Nichterfolg die Kostenfolge (§§ 91, 92 ZPO). Daher muss er eindeutig sein. Grundsätzlich ist ein Klageantrag hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis klar abgegrenzt ist, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind, das Risiko des (eventuell teilweisen) Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird (BGHZ 153, 69 = NJW 2003, 668 Rn. 46; BGH, NJW 2018, 1259). Nicht jede mögliche Unsicherheit bei der Zwangsvollstreckung führt aber zur Unbestimmtheit des Klageantrags; die Anforderungen sind unter Berücksichtigung von Besonderheiten des materiellen Rechts und des Einzelfalls durch Abwägung der Parteiinteressen an wirksamem Rechtsschutz und Rechtssicherheit festzulegen (BGH, Urteil vom 50.03.2024, VI ZR 330/21, VersR 2024, 1082 Rn. 8). Die Verwendung auslegungsbedürftiger Begriffe kommt nur in Betracht, wenn eine weitere Konkretisierung dem Kläger nicht möglich oder zumutbar ist und für die Parteien kein Zweifel am Inhalt besteht (BGH, Urteil vom 02.12.2015, IV ZR 28/15, NJW 2016, 708 Rn. 8). Bei der Auslegung ist auch die Klagebegründung heranzuziehen (Greger, in: Zöller, ZPO, 36. Aufl., § 253 Rn. 13 mwN). In der Berufungsinstanz kann dem Bestimmtheitserfordernis auch dadurch Rechnung getragen sein, dass der Kläger das erstinstanzliche Urteil, soweit es zu seinen Gunsten ergangen ist, verteidigt (BGH, MDR 95, 951).

bb) An diesem Maßstab gemessen weisen alle Klageanträge hinreichend bestimmte Gegenstände und Antragsinhalte zur Bestimmung des jeweiligen Streitgegenstandes auf. Die von der Beklagten geltend gemachten Bedenken könnten allein die im Rahmen der Begründetheit relevanten Substantiierungsanforderungen des Klägervortrags betreffen, machen die Klage aber jedenfalls nicht unzulässig. Insbesondere muss der Kläger für die Zulässigkeit der Anträge weder im Sachverhalt noch in den Klagean-trägen „einzelne konkrete Datenverarbeitungsvorgänge“ auflisten oder vortragen, welche seiner Daten die Beklagte angeblich verarbeitet habe, von welchen Websites oder Apps diese stammten und wann dies geschehen sei.

(1) Der Kläger hat die personenbezogenen Daten, über deren Erfassung, Speicherung, Weiterleitung und Verwendung im Klageantrag zu 1 Feststellung begehrt wird, hinreichend genau bezeichnet, wobei die Anträge zu 2 bis 4 wiederum hierauf Bezug nehmen. Die Bezugnahme auf Dritt-Webseiten und Dritt-Apps steht der Bestimmtheit nicht entgegen. Der Feststellungsantrag umfasst ersichtlich alle Dritt-Webseiten und Dritt-Apps, auf denen ein Meta Business-Tool der Beklagten integriert ist. Daher ist eine Aufzählung einzelner Dritt-Webseiten und Dritt-Apps nicht erforderlich.

(2) Der Kläger hat auch im Löschungs-/Anonymisierungsantrag zu 4 die personenbezogenen Daten, die gelöscht bzw. anonymisiert werden sollen, durch die Bezugnahme auf den Feststellungsantrag zu 1 grundsätzlich genau bezeichnet, denn es sollen „sämtliche“ sich aus dem Antrag zu 1 a. ergebenden personenbezogenen Daten gelöscht und „sämtliche“ im Sinne des Antrags zu 1 b. und c. gespeicherten personenbezogenen Daten anonymisiert oder gelöscht werden. Dass sich der Kläger dabei an den Begriffen des Art. 4 Nr. 1 u. 2 DSGVO orientiert, sorgt für mehr und nicht für weniger Klarheit. Nach dieser Regelung bezeichnet „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Soweit der Antrag zu 4 zwischen der bezogen auf den Feststellungsantrag zu 1 a. begehrten Datenlöschung und der hinsichtlich des Feststellungsantrags zu 1 b. und c. begehrten Anonymisierung bzw. wahlweise nach Wahl der Beklagten Löschung der Daten differenziert, ist auch der Antrag auf wahlweise Löschung bzw. Anonymisierung hinreichend bestimmt. Denn anders als bei einem alternativen Klageantrag soll es hier nicht dem Gericht, sondern der Beklagten überlassen bleiben, ob sie löscht oder stattdessen anonymisiert, sodass sich für die Beklagte keine unzumutbare Unbestimmtheit ergäbe. Dass es prozessual möglich sein muss, der Beklagten ein Wahlrecht einzuräumen, beweist schon § 264 Abs. 1 BGB (vgl. OLG München, Urteil vom 18.12.2025, 14 U 2300/25 e, juris Rn. 222).

(3) Die Anträge zu 1 bis 4 sind auch nicht deshalb zu unbestimmt, weil Rechtfertigungsgründe i.S.v. Art. 6 Abs. 1 Unterabsatz 1 lit. a - f DSGVO nicht aufgenommen sind, denn auch diese Frage betrifft jedenfalls nicht die Zulässigkeit, sondern die Begründetheit.

(4) Das Landgericht hat in dem angefochtenen Urteil allerdings den Unterlassungsantrag zu 2 zu unbestimmt tenoriert, denn es fehlt die Bezugnahme auf die E-Mail-Adresse des Klägers „email1@web.de“. Durch den abändernden Zuspruch des Feststellungsantrags zu 1 und die Bezugnahme hierauf in der Tenorierung des Klageantrags zu 2 hat sich dieses Problem indes erledigt.

(5) Die Zahlungs- bzw. Freistellungsanträge sind mit ihrem jeweiligen vollstreckungsfähig bezifferten Inhalt hinreichend bestimmt gemäß § 253 Abs. 2 Nr. 2 ZPO. Soweit die Beklagte moniert, dass der Kläger einen individuellen Datenkontrollverlust nicht dargelegt habe, ändert dies nichts daran, dass er den Gegenstand und Grund des prozessualen Anspruchs bestimmt angegeben hat. Der Kläger hat den Sachverhalt hinreichend individualisiert, indem er den von ihm bei der Beklagten angemeldeten Facebook-Account bezeichnet und dargelegt hat, dass er dort personenbezogene Daten hinterlegt habe, die die Beklagte über die Meta Business-Tools von einer Vielzahl von Dritt-Websites und -Apps zur Verfügung gestellt bekommt. Er wehrt sich mit der Klage in zulässiger Weise nicht gegen einzelne konkret angegriffene Datenverarbeitungsvorgänge, sondern macht geltend, dass die Beklagte über die Nutzung der Meta Business-Tools als solche seine personenbezogenen Daten im Sinne der DSGVO verarbeitet habe und dass allein schon dieser Umstand zu einem Datenkontrollverlust des Klägers geführt habe. Im Klageantrag hat der Kläger zudem den Anforderungen für einen immateriellen Schadensersatz gem. §§ 253 Abs. 2 Nr. 2 ZPO, 253 Abs. 2 BGB genügend die konkrete Höhe in das Ermessen des Landgerichts bzw. Senats gestellt und mit 1.000,00 € eine bestimmte Mindestgrößenordnung genannt.

d) Feststellungsinteresse für den Klagantrag zu 1

Der Klageantrag zu 1 ist entgegen der Auffassung des Landgerichts im Ergebnis zulässig.

aa) Zwar fehlt der allgemeinen Feststellungsklage das erforderliche Feststellungsinteresse (vgl. OLG Stuttgart, Urteil vom 29.04.2026, 4 U 353/24, juris, Rn. 107 ff.).

Gem. § 256 Abs. 1 ZPO kann auf Feststellung des Bestehens oder Nichtbestehens eines Rechtsverhältnisses Klage erhoben werden, wenn der Kläger ein rechtliches Interesse daran hat, dass das Rechtsverhältnis alsbald festgestellt wird.

(1) Erforderlich ist ein Rechtsverhältnis, d.h. eine aus einem konkreten Lebenssachverhalt resultierende Beziehung einer Person zu einer anderen Person oder einer Sache, die ein mit materieller Rechtskraftwirkung feststellbares subjektives Recht enthält oder aus der ein solches Recht entspringen kann (Zöller-Greger, ZPO, 36. Aufl., § 256 Rn. 4).

Ein solches Rechtsverhältnis liegt grundsätzlich vor. Zwischen den Parteien besteht ein Nutzungsvertrag bzgl. des sozialen Netzwerks der Beklagten und Gegenstand der Feststellungsklage ist, ob sich aus diesem Nutzungsvertrag ein Recht der Beklagten ergibt, personenbezogene Daten des Klägers, die die Beklagte über die Meta Business-Tools von Drittunternehmern erhalten hat, zu verarbeiten. Ob es sich dabei um eine abstrakte rechtliche Vorfrage handelt (OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris, Rn. 136 f.) oder um ein feststellungsfähiges Rechtsverhältnis (OLG Stuttgart, Urteil vom 29.04.2026, 4 U 353/24, juris, Rn. 107 ff.; OLG Naumburg, Urteil vom 05.02.2026, 9 U 44/25, juris, Rn. 157; OLG München, Urteil vom 18.12.2025, 14 U 881/25, GRUR-RS 2025, 36464, Rn. 51), lässt der Senat dahinstehen.

(2) Denn jedenfalls fehlt für die allgemeine Feststellungsklage das erforderliche Feststellungsinteresse nach § 256 Abs. 1 ZPO. Dem Feststellungsinteresse steht der Vorrang der Leistungsklage entgegen.

Das Feststellungsinteresse fehlt, wenn dem Kläger eine Klage auf Leistung möglich und zumutbar ist und wenn die Klage auf Leistung ihr Rechtsschutzziel erschöpft (Zöller-Greger, ZPO, 36. Aufl., § 256, Rn. 14). Leistungsklage in diesem Sinne ist auch eine (vorbeugende) Unterlassungsklage (BGH, NJW-RR 2016, 1404, Rn. 16).

Eine Klage auf Leistung ist vorliegend grundsätzlich möglich. Für die Vergangenheit fordert der Kläger beziffert immateriellen Schadensersatz und Löschung bzw. Anonymisierung der bereits erhobenen Daten, für die Zukunft kann der Kläger Unterlassung verlangen. Diese Klagen erschöpfen sein Rechtsschutzziel grundsätzlich. Gewissheit über das aktuell bestehende Rechtsverhältnis kann er auch mit einer Unterlassungsklage erlangen, bei deren Erfolg er zudem gegen die Beklagte vollstrecken kann, falls sich diese nicht an das Unterlassungsgebot halten sollte. Nicht überzeugend ist insoweit der Verweis des Klägers auf die Argumentation des Bundesgerichtshofs im Urteil zum Datenscraping (BGH, Urteil vom 18.11.2024, VI ZR 10/24, Rn. 48), da die beiden Feststellungsanträge nicht vergleichbar sind. Der vom Bundesgerichtshof beurteilte Feststellungsantrag war auf die Feststellung der Ersatzpflicht der Beklagten für künftige Schäden gerichtet und nicht - wie hier - auf die Feststellung, dass der Nutzungsvertrag die Verarbeitung personenbezogener Daten nicht gestattet.

bb) Der Antrag zu 1 ist jedoch als Zwischenfeststellungsklage gemäß § 256 Abs. 2 ZPO zulässig.

Entgegen dem Gesetzeswortlaut ist die Zwischenfeststellungsklage auch dann zulässig, wenn - wie hier - schon vor dem Prozess Streit zwischen den Parteien über das Rechtsverhältnis bestanden hat (Becker-Eberhard, in: MüKo/ZPO, 7. Aufl., § 256 Rn. 83). Die Zwischenfeststellungsklage setzt aber die Präjudizialität des Rechtsverhältnisses voraus. Dieses muss für den in der Hauptentscheidung enthaltenen Subsumtionsschluss ein notwendiges Element sein (Becker-Eberhard, in MüKo/ZPO, 7. Aufl., § 256 Rn. 85). § 256 Abs. 2 ZPO ermöglicht es dem Kläger, durch neben oder nach der Hauptklage erhobene Zwischenfeststellungsklage einen rechtskräftigen Ausspruch auch über alle für die Hauptklage vorgreiflichen Rechtsverhältnisse herbeizuführen. Dadurch erwachsen auch diese in Rechtskraft. Das soll vermeiden, dass die rechtskräftig festgestellten Fragen im selben anderen Prozess (z.B. erste Klage auf Vertragserfüllung, spätere auf Schadensersatz statt der Leistung) abweichend beurteilt werden (vgl. dazu Zöller-Greger, ZPO, 36. Aufl., § 256 Rn. 35). Erforderlich ist also eine über den gegenwärtigen Streitgegenstand hinausgehende rechtliche Relevanz; hierfür genügt die Möglichkeit, dass aus dem streitigen Rechtsverhältnis weitere Ansprüche entstehen können (BGH, Urteil vom 23.04.2012, II ZR 75/10, juris Rn. 41 mwN).

Diese Voraussetzungen sind vorliegend im Ergebnis erfüllt. Die begehrte Feststellung ist für die zugleich erhobenen Leistungsanträge - insbesondere auf Unterlassung und Schadensersatz - vorgreiflich. Ob der zwischen den Parteien bestehende Nutzungsvertrag die streitgegenständliche Datenverarbeitung gestattet, bildet eine zentrale Vorfrage für deren Begründetheit. Die Feststellung erschöpft sich auch nicht in ihrer Bedeutung als bloße Vorfrage. Die Möglichkeit, dass aus dem streitigen Rechtsverhältnis weitere Ansprüche entstehen können, besteht hier. Es lässt sich nämlich nicht ausschließen, dass personenbezogene Daten des Klägers, die von Drittanbietern stammen und Gegenstand der begehrten Feststellung sind, künftig unbefugt Dritten zugänglich werden und hieraus weitere Ansprüche resultieren (vgl. OLG München, Urteil vom 18.12.2025, 14 U 881/25e, juris Rn. 109). Die Beklagte behält sich ausweislich ihrer Datenschutzrichtlinie, dort S. 72 ff. (Anlage K 1), ausdrücklich vor, die ihr zur Kenntnis gelangten Informationen auch mit im (außereuropäischen) Ausland ansässigen Dritten zu teilen. Es erscheint also ohne weiteres möglich, dass sich aus einer - unter Umständen bereits erfolgten - Weiterleitung personenbezogener Daten des Klägers an sonstige Akteure in Zukunft rechtliche oder tatsächliche Nachteile ergeben können (vgl. OLG Koblenz, Urteil vom 19.03.2026, 1 U 415/25, mwN). Da für Zukunftsschäden im Falle der Verletzung des Allgemeinen Persönlichkeitsrechts des Klägers aus Art. 2 Abs. 1 u. 2, 1 Abs. 1 GG als absolutes Recht deren nicht nur ganz entfernte Möglichkeit ausreicht, genügt der vom Kläger gehaltene Vortrag den Anforderungen. Im Rahmen der Zulässigkeit reicht insoweit bei doppelt-relevanten Tatsachen der schlüssige Vortrag des Klägers. Dieser hat vorliegend nicht nur eine Verletzung seines Allgemeinen Persönlichkeitsrechts, sondern auch Zukunftsschäden hinreichend schlüssig als möglich dargetan.

d) Objektive Klagehäufung

Die Voraussetzungen der objektiven Klagehäufung sind erfüllt (§ 260 ZPO).

2. Begründetheit der Klage

Die Klage ist ganz weitgehend begründet.

a) Feststellungsantrag zu 1

Der Feststellungsantrag hat in der Sache Erfolg, weil die von der Beklagten vorgenommene Verarbeitung von Daten des Klägers rechtswidrig ist. Sie verstößt gegen Art. 5 DSGVO und Art. 6 DSGVO.

aa) Die DSGVO ist sachlich, räumlich und zeitlich anwendbar (Art. 2 Abs. 1, 3 Abs. 1 und 99 Abs. 2 DSGVO).

bb) Da es sich bei diesen Verarbeitungsvorgängen um interne Abläufe in den Systemen der Beklagten handelt, trifft sie dabei eine sekundäre Darlegungslast zu den Datenverarbeitungsvorgängen bei der Erhebung und Verarbeitung personenbezogener Daten mittels Business-Tools. Der Kläger hat demgegenüber nicht darzulegen, welche konkreten Webseiten er aufgesucht hat und auf welchen dieser Webseiten Business-Tools zum Einsatz kommen (s.o.). Schon aus diesem Grund kann von ihm - anders als die Beklagte meint - auch nicht verlangt werden, darzulegen und zu beweisen, dass er auf diesen Webseiten die Einwilligung in die Datenerhebung über Business-Tools verweigert hat. Zwingende Voraussetzung für eine Datenübermittlung an die Beklagte ist die Cookie-Einwilligung des Nutzers auf Drittwebseiten ohnehin nicht, weil unstreitig die Implementierung der Business-Tools auf zahlreichen Drittwebseiten fehlerhaft ist, so dass dort Daten auch dann an die Beklagte weitergeleitet werden, wenn der Nutzer eine solche Einwilligung nicht erteilt hat. Nachdem unstreitig ist, dass der Kläger bei der Beklagten als Nutzer registriert ist und dass auf einer erheblichen Anzahl namhafter und reichweitenstarker Webseiten in Deutschland die Business-Tools der Beklagten in ihren verschiedenen Ausprägungen zum Einsatz kommen, ist vielmehr davon auszugehen, dass auch von dem Kläger Business-Tool-Daten erhoben werden. Soweit sich die Beklagte darauf beruft, dass dies ausnahmsweise nicht der Fall ist, trägt sie auch hierfür die Darlegungslast (vgl. OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, Anlage zum Schriftsatz vom 16.06.2026).

cc) Die Beklagte verarbeitet den Kläger betreffende personenbezogene Daten im Sinne des Art. 4 Nr. 1 und 2 DSGVO, denn mit Hilfe der Meta Business-Tools erhebt, erfasst und speichert die Beklagte Daten des Klägers (u.a. IP-Adresse, Geräteinformationen, sog. „Event-Daten“). Zu diesen personenbezogenen Informationen gehören laut den Meta Business Tools Nutzungsbedingungen auch Namen, E-Mail-Adressen und Telefonnummern.

Im Prozess hat die Beklagte nicht bestritten, dass sie - u. a. auch in Bezug auf personenbezogene Daten des Klägers - eine Datenverarbeitung vorgenommen hat; sie hält diese lediglich - zu Unrecht - für rechtmäßig. Soweit die Beklagte während des erstinstanzlichen Rechtsstreits das außergerichtliche Schreiben vom 03.07.2024 an die Kläger-Vertreter gesandt hat, auf dessen S. 3 es heißt „Vor dem Hintergrund, dass Ihr Mandant nicht über die Einstellung „Informationen über Aktivitäten von Werbepartnern“ eingewilligt hat, verarbeitet Meta keine personenbezogenen Daten Ihres Mandanten im Rahmen der streitgegenständlichen Datenverarbeitung.“, liegt darin kein wirksames prozessuales Bestreiten der Verarbeitung personenbezogener Daten des Klägers durch die Beklagte gemäß § 138 Abs. 2 und 3 ZPO, auch wenn die Beklagte den Inhalt ihres Schreibens durch Bezugnahme in der Klageerwiderung zum Gegenstand ihres Vortrags gemacht hat. Denn der Satz enthält kein konkretes Bestreiten, dass die Beklagte mit den von dem Kläger mitgeteilten Daten Verarbeitungsvorgänge im Sinne des Art. 4 Nr. 2 DSGVO durchgeführt hat, sondern nur eine rechtliche Wertung, dass die Beklagte wegen der von dem Kläger nicht erteilten Einwilligung über die Einstellung „Informationen über Aktivitäten von Werbepartnern“ keine personenbezogenen Daten des Klägers „im Rahmen der streitgegenständlichen Datenverarbeitung“ verarbeite. Nach dem unstreitigen o. g. Sachverhalt zu der Anmeldung des Klägers mit dem genannten Account bei Facebook und zur Funktions- und Wirkweise der Meta Business- Tools unterliegt es indes in tatsächlicher Hinsicht keinem Zweifel, dass die Beklagte eine Verarbeitung von Daten des Klägers vorgenommen hat, nämlich zumindest die Erhebung, Erfassung und Speicherung gemäß Art. 4 Nr. 2 DSGVO. Personenbezogen im Sinne von Art. 4 Nr. 1 DSGVO sind die verarbeiteten Daten schon deshalb, weil die Beklagte unstreitig in der Lage ist, diese Daten (z.B. über die verwendete IP-Adresse oder individuelle Geräteinformationen) dem Benutzerkonto des Klägers zuzuordnen (vgl. Erwägungsgrund 26 zur DSGVO: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren [...]“; EuGH, BeckRS 2016, 82520 zu dynamischen IP-Adressen; OLG München, Urteil vom 18.12.2025, 14 U 2300/25 e, juris Rn. 247).

dd) Die Beklagte ist für die Erhebung, Übermittlung, Speicherung und Verwertung dieser Daten verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO.

Die Verantwortlichkeit für die Speicherung und Verarbeitung ist vom Landgericht in dem angefochtenen Urteil festgestellt worden und liegt aus den obigen Gründen nach dem im Wesentlichen unstreitigen Grundsachverhalt auf der Hand, sie wird auch mit der Berufung nicht angegriffen. Die Beklagte ist gemeinsam mit ihren Partnern auch für die Erfassung und Weiterleitung dieser Daten an ihre Server verantwortlich (vgl. EuGH, Urteil vom 29.07.2019, C-40/17, juris Rn. 79 und 96). Das liegt bereits daran, dass durch die Einbettung der Meta Business-Tools in eine Dritt-Webseite oder Dritt-App eine „dynamische Verweisung“ auf die jeweils aktuelle Version der Meta Business-Tools entsteht. Die Kontrolle über die Programmierung der Meta Business-Tools und damit den Umfang der Erfassung und Weiterleitung der Daten verbleibt bei der Beklagten. Sie entscheidet mit, welche Daten erhoben und übersandt werden (OLG München, Urteile vom 18.12.2025, 14 U 1314/25 e, juris Rn. 374; vom 18.12.2025, 14 U 2300/25 e, juris Rn. 250; vom 18.12.2025, 14 U 881/25 e, juris Rn. 144). Die Beklagte kann diese Verantwortlichkeit weder durch vertragliche Vereinbarungen mit den Drittanbietern auf diese abwälzen noch kann sie sich durch etwaige Belehrungen der Drittanbieter im Hinblick auf deren datenschutzrechtlichen Pflichten von der eigenen Verantwortlichkeit freizeichnen, schon weil sie selbst gegenüber ihren Meta Business-Tools-Kunden die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO feststellt (vgl. OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris Rn. 170). Dementsprechend hat die Beklagte in den Nutzungsbedingungen der Meta Business-Tools die gemeinsame Verantwortlichkeit für die Erhebung und Übermittlung der Daten übernommen (vgl. Anlage B 5).

ee) Die Beklagte verstößt gegen die in Art. 5 DSGVO enthaltenen Grundsätze über die Verarbeitung personenbezogener Daten.

(1) Nach Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Des Weiteren dürfen sie gemäß Art. 5 Abs. 1 lit. b DSGVO nur für festgelegte, eindeutige und legitime Zwecke erhoben werden, d.h. nicht zu noch unbekannten Zwecken „auf Vorrat“. Schließlich müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Grundsatz der Datenminimierung), Art. 5 Abs. 1 lit. c DSGVO. Der Grundsatz der Datenminimierung sichert die Verhältnismäßigkeit der Datenverarbeitung und besagt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen (vgl. EuGH, Urteile vom 04.10.2024, C-446/21, NZA 2024, 1407, 1409 f., Rn. 49 ff.; vom 04.07.2023, C-252/21, NJW 2023, 2997, Rn. 109; jeweils mwN). Der Verantwortliche ist unter Berücksichtigung des Grundsatzes der Datenminimierung verpflichtet, den Zeitraum der Erhebung der betreffenden personenbezogenen Daten auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (vgl. EuGH, Urteil vom 04.10.2024, C-446/21, NZA 2024, 1407, 1409 f., Rn. 52). Somit ist Art. 25 DSGVO eindeutig zu entnehmen, dass der in ihm verankerte Grundsatz der Speicherbegrenzung verlangt, dass der Verantwortliche in der Lage ist, nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist (vgl. EuGH, Urteil vom 04.10.2024, C-446/21, NZA 2024, 1407, 1409 f., Rn. 55). Der Verantwortliche darf die Daten nicht allgemein und unterschiedslos erheben, sondern muss von der Erhebung solcher Daten absehen, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (vgl. EuGH, Urteile vom 04.10.2024, C-446/21, NZA 2024, 1407, 1409 f., Rn. 59; vom 24.02.2022, C-175/20, EuZW 2022, 527, Rn. 74).

(2) Gegen all diese Grundsätze hat die Beklagte mit der streitgegenständlichen Datenverarbeitung verstoßen.

(a) Der Senat ist davon überzeugt, dass die Beklagte mit den Meta Business-Tools eine potentiell unbegrenzte Menge an personenbezogenen Daten des Klägers verarbeitet, indem sie die Aktivitäten des Klägers auf Dritt-Webseiten und Dritt-Apps verfolgt. Sie erhebt mit den Meta Business-Tools umfassend - also allgemein und unterschiedslos - personenbezogene Daten der Nutzer, darunter des Klägers, über dessen Tätigkeiten außerhalb ihres Netzwerks, darunter u.a. Daten über den Abruf von Webseiten und Apps Dritter. Bestimmte technische Standarddaten gelangen dabei automatisch an die Beklagte, wenn der Nutzer eine Dritt-Webseite oder eine Dritt-App aufruft. Zwischen den Parteien ist auch unstreitig, dass die Beklagte über die Meta Business-Tools Kontaktinformationen und/oder Event-Daten der Nutzer auf den Dritt-Webseiten und Dritt-Apps erhält, wenn der Partner bei Einbettung der Meta Business-Tools in seine Webseite bzw. App eine entsprechende Einstellung vorgenommen hat. Dabei handelt es sich um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO, weil die Beklagte unstreitig in der Lage ist, diese Daten des Klägers zuzuordnen. Die Datenverarbeitung der Beklagten ist umfassend, weil die Meta Business-Tools nahezu unbegrenzt personenbezogene Daten erheben. Das hat erhebliche Auswirkungen auf den Nutzer, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von der Beklagten aufgezeichnet werden, und stellt einen erheblichen Eingriff in die Grundrechte der betroffenen Personen dar, insbesondere in ihre durch die Art. 7, Art. 8 der Charta der Grundrechte der Europäischen Union (GRCh) gewährleisteten Rechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten. Die allgemeine und unterschiedslose Verwendung sämtlicher personenbezogener Daten, die von einer Plattform für ein soziales Netzwerk erhoben, übersendet, gespeichert und analysiert werden, kann unabhängig vom Sensibilitätsgrad dieser Daten nicht als verhältnismäßiger Eingriff in die Rechte, die den Nutzern dieser Plattform durch die DSGVO garantiert werden, qualifiziert werden (OLG München, Urteil vom 18.12.2025, 14 U 1068/25 e, juris Rn. 266; OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris Rn. 181).

(b) Diesen Feststellungen stehen nicht die Ausführungen des Beklagtenvertreters in der mündlichen Verhandlung vor dem Senat vom 24.06.2026 unter Bezugnahme auf den Vortrag unter den Rn. 34 ff. in der Berufungserwiderung vom 19.06.2026 entgegen, wo sie ausgeführt hat, dass an die Beklagte keine Daten übertragen würden, wenn der Anbieter der Drittwebsite sich richtig verhalte bzw. die Tools richtig installiere und der User den Cookie-Banner ablehne. Wenn das so gehandhabt werde, lade der Meta-Pixel schon gar nicht und es würden keinerlei Daten an Meta übertragen, auch nicht z.B. die User-ID bzw. IP-Adresse.

Dieser Vortrag ist, ohne dass es auf den Streit der Parteivertreter im Senatstermin zu der Conversions API und dem „Playbook“ zur Datenverarbeitung ankommt, rechtlich unerheblich. Als gemeinsam Verantwortliche hätte die Beklagte auch in dem Falle der von ihr vorgetragenen Funktionsweisen des Meta-Pixels und der Conversions API sicherzustellen, dass die Anbieter der Drittwebsites sich richtig verhalten bzw. die Tools richtig installieren. Dass sie dies durchgehend und umfassend kontrolliert und gewährleistet hat, behauptet die Beklagte selbstnicht einmal. Zudem ist nicht ersichtlich, dass für Nutzer wie den Kläger objektiv erkennbar gewesen sein könnte, dass sie mit der Entscheidung über die Cookie-Banner im Zuge des Öffnens einer Drittwebsite darüber bestimmen, ob die Beklagte über die Meta Business-Tools Zugriff auf seine personenbezogenen Daten erhält oder nicht. Schließlich hat die Beklagte nur auf den Meta Pixel und die Conversions API abgestellt (Rn. 42 der Berufungserwiderung: „Wenn eine Person eine Webseite besucht, auf der die streitgegenständlichen Business Tools wie Meta Pixel oder Conversions API implementiert sind, …“), aber nicht ausgeführt, dass nicht Daten über die anderweitigen Meta Business-Tools erhoben, übersandt und verarbeitet werden. Ihren Partnern empfiehlt die Beklagte, die Meta Business-Tools kumulativ einzusetzen.

(c) Keine Rechtfertigung

Die Verarbeitung der personenbezogenen Daten des Klägers ist - soweit es für die vorgenannten Tatbestände hierauf überhaupt ankommt - nicht nach Art. 6 Abs. 1 und Art. 9 DSGVO gerechtfertigt. Die - insoweit darlegungs- und beweispflichtige - Beklagte hat weder vorgetragen, welche Daten sie zu welchem konkreten Zweck verwendet, noch kann sie sich auf die einzelnen Rechtfertigungsgründe der DSGVO stützen. Insbesondere fehlt es an einer Einwilligung des Klägers in die Datenverarbeitung.

(aa) Unklarer Zweck der Datenverarbeitung

Eine Rechtfertigung der Datenverarbeitung nach Art. 6 Abs. 1 DSGVO und Art. 9 Abs. 2 DSGVO scheitert schon daran, dass die Beklagte nicht hinreichend konkret vorträgt, welche Daten sie zu welchem konkreten Zweck erhebt und verarbeitet.

(aaa) Nach Art. 5 Abs. 2 DSGVO trägt der Verantwortliche die Beweislast dafür, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Außerdem obliegt es dem Verantwortlichen nach Art. 13 Abs. 1 lit. c DSGVO, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 95). Die Beklagte hat also darzulegen, zu welchem Zweck sie welche Daten erhoben hat und weshalb die Verarbeitung rechtmäßig sein soll.

(bbb) Dem ist sie nicht nachgekommen. Aus der Datenschutzrichtlinie (Anlage K 1) ergeben sich keine Rechtsgrundlagen für die Datenverarbeitung in dem festgestellten Umfang, u. a. auch nicht die vertragliche Notwendigkeit („Erfüllung eines Vertrages“). Der Datenschutzrichtlinie der Beklagten lässt sich schon aufgrund ihres Umfangs und der verwirrenden Darstellungsart nicht nachvollziehbar entnehmen, welche konkreten Daten erhoben und für welche konkreten Zwecke sie verwendet werden. Die Beklagte hat im vorliegenden Verfahren zum Umfang und der Art und Weise der Datenverarbeitung nichts Konkretes vorgetragen. Dass ihr dies angesichts der Menge der betroffenen Daten womöglich nicht oder nur mit erheblichem Aufwand möglich ist, rechtfertigt keine andere Bewertung. Es verdeutlicht vielmehr den erheblichen Verstoß gegen den Grundsatz der Datenminimierung (vgl. OLG München, Urteile vom 18.12.2025, 14 U 1314/25 e, juris Rn. 381; vom 18.12.2025, 14 U 2300/25 e, juris Rn. 258; OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris Rn. 182; Senat, Urteil vom 09.03.2026, I-8 U 13/25 und I-8 U 21/25, jeweils juris).

(bb) Fehlende Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a, Art. 9 Abs. 2 DSGVO

Ungeachtet dessen fehlt es auch an einer wirksamen Einwilligung des Klägers in die festgestellte Verarbeitung der personenbezogenen Daten durch die Beklagte.

(aaa) Nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn und soweit die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke freiwillig in informierter Weise und unmissverständlich i.S.v. Art. 4 Nr. 11 DSGVO erteilt hat (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, GRUR-RS 2023, 15772, Rn. 91 f.; EuGH, Urteil vom 11.11.2020, C-61/19, NJW 2021, 841, Rn. 35 f.).

(bbb) Konkreter Vortrag der Beklagten dazu, dass der Kläger eine Einwilligung für die streitgegenständliche Datenverarbeitung über die Meta Business-Tools i.S.v. Art. 6 Abs. 1 UAbs. 1 lit. a und Art. 9 Abs. 2 DSGVO erteilt hätte, liefert die Beklagte nicht. Dass sich die Einwilligung aus dem Nutzungsvertrag ergeben würde, behauptet die Beklagte selbst nicht.

Die Ausführungen der Beklagten in der Berufungsbegründung zu Wortlaut und Reichweite der auf ihrer Website zur Verfügung gestellten Einwilligungserklärung bezogen auf eine Verarbeitung der Daten zu Werbezwecken laufen ins Leere, da der Kläger eine solche - unstreitig - hinsichtlich seines Nutzerkontos nicht erteilt hat. Der Einwand der Beklagten, dass eine Verwendung der Daten des Klägers zur Erstellung personalisierter Werbung nicht erfolge, weil insoweit keine Einwilligung erteilt worden sei, verfängt nicht. Denn es ist unstreitig, dass der Beklagten von Dritten über die streitgegenständlichen Meta Business-Tools auch dann Daten zur Verfügung gestellt werden, wenn eine Einwilligung ihr gegenüber nicht erteilt worden ist.

(ccc) Ungeachtet dessen hätte der Kläger eine etwaige Einwilligung in die Datenverarbeitung, die der Senat - wie dargelegt - bereits nicht feststellen kann, jedenfalls - worauf er sich auf S. 100 seines erstinstanzlichen Schriftsatzes vom 09.01.2025 berufen hat (Bl. 827 eGA I) - mit Erhebung der vorliegenden Klage konkludent widerrufen. Nach Art. 7 Abs. 3 S. 1 DSGVO ist eine erteilte Einwilligung jederzeit frei widerruflich mit der Folge, dass die Datenverarbeitung unrechtmäßig ist. Es gibt keine gesetzliche oder sonstige rechtliche Grundlage für die Annahme der Beklagten, dass der Widerruf einer Einwilligung in die Datenverarbeitung spiegelbildlich nur genau auf dem identischen digitalen Weg wie die Erklärung der Einwilligung zulässig bzw. wirksam sei.

(ddd) Der Senat vertritt im Übrigen die Ansicht, dass eine etwaig gegenüber Drittanbietern/Nutzern der Meta Business-Tools erteilte Einwilligung zur Datenverarbeitung die Beklagte nicht davon entbindet, eine Einwilligung für eine nachfolgend in ihrer Sphäre vorgenommene Datenverarbeitung einzuholen. Denn das Sammeln und Speichern der von Dritten übermittelten Daten nimmt allein die Beklagte vor, ohne dass Drittanbieter hierauf Einfluss hätten.

(cc) Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO

Die Datenverarbeitung ist für die Erfüllung des Nutzungsvertrags nicht erforderlich i.S.v. Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO.

(aaa) Die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Webseiten oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, kann nur dann als im Sinne dieser Vorschrift für die Erfüllung eines Vertrags, dessen Vertragsparteien die betroffenen Personen sind, erforderlich angesehen werden, wenn diese Verarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für diese Nutzer bestimmten Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne diese Verarbeitung nicht erfüllt werden könnte (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris 4. Ls. und Rn. 125).

(bbb) Die Beklagte hat diese Voraussetzung nicht hinreichend konkret dargelegt. Der Umstand, dass die Datenverarbeitung im Vertrag bzw. der Datenschutzrichtlinie erwähnt wird oder für dessen Erfüllung von Nutzen ist, genügt nicht. Entscheidend ist, dass die Datenverarbeitung des Verantwortlichen für die ordnungsgemäße Erfüllung des mit dem Betroffenen geschlossenen Vertrags wesentlich ist, und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen.

Es ist bereits zweifelhaft, ob die von der Beklagten angesprochene Personalisierung von Funktionen, Inhalten und Vorschlägen zu Personen, Gruppen und Veranstaltun-gen notwendiger Bestandteil der Vertragsleistungen der Beklagten ist. Jedenfalls ist die umfassende Verarbeitung der über die Meta Business-Tools erlangten Daten zur Erreichung dieses Zwecks nicht unerlässlich (OLG München, Urteile vom 18.12.2025, 14 U 1314/25 e, juris Rn. 385; vom 18.12.2025, 14 U 2300/25 e, juris Rn. 261; vom 18.12.2025, 14 U 881/25 e, juris Rn. 157). Die Beklagte hat selbst vorgetragen, dass der eigentliche Zweck des Netzwerks darin bestehe, den Nutzern die Möglichkeit zu geben, nahtlos Verbindungen herzustellen, zu kommunizieren und Inhalte mit anderen Nutzern auf der ganzen Welt auszutauschen, unabhängig von ihrem physischen Standort oder geografischer Zugehörigkeit. Sie hat indes nicht näher erklärt, warum hierfür die über die Meta Business-Tools erhobenen Daten zwingend notwendig sind. Ganz im Gegenteil hat sie vorgetragen, dass ein weiterer Zweck der Meta Business-Tools - also der Datenverarbeitung - sei, die Partner bei der Integration ihrer Produkte zu unterstützen und die Effektivität der Werbeanzeigen zu messen. Das ist für den eigentlichen Zweck des Netzwerks unerheblich.

(dd) Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO

Eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO scheidet aus.

(aaa) Nach der Rechtsprechung des Gerichtshofs der Europäischen Union setzt dieser Rechtfertigungsgrund voraus, dass die Beklagte gesetzlich verpflichtet wäre, personenbezogene Daten präventiv zu erheben und zu speichern, um jegliche Anfrage einer nationalen Behörde, die darauf abzielt, bestimmte Daten über ihre Nutzer zu erlangen, beantworten zu können (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 132).

(bbb) Die Beklagte hat solche Umstände nicht vorgetragen. Sonstige Anhaltspunkte für eine gesetzliche Verpflichtung bestehen ebenfalls nicht.

(ee) Art. 6 Abs. 1 UAbs. 1 lit. d DSGVO

Die Datenverarbeitung ist auch nicht nach Art. 6 Abs. 1 UAbs. 1 lit. d DSGVO gerechtfertigt.

(aaa) Eine Rechtfertigung nach dieser Regelung kommt nur in Betracht, wenn lebenswichtige Interessen zu schützen sind, wie z.B. die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen im Blick hatte (vgl. 46. Erwägungsgrund der DSGVO und EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 136).

(bbb) Das ist hier nicht der Fall. Der Betreiber eines sozialen Online-Netzwerks, dessen Tätigkeit im Wesentlichen wirtschaftlicher und kommerzieller Natur ist, kann in Anbetracht der Art der von ihm erbrachten Dienste nicht den Schutz eines lebenswichtigen Interesses seiner Nutzer oder einer anderen Person geltend machen, um die Rechtmäßigkeit einer Datenverarbeitung wie der im Ausgangsverfahren in Rede stehenden pauschal in abstrakter und präventiver Weise zu rechtfertigen (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 137).

(ff) Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO

Eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO kommt nicht in Betracht.

(aaa) Die Verarbeitung ist nach dieser Vorschrift nur rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, etwa im Hinblick auf die Forschung zum Wohle der Gesellschaft oder die Förderung von Schutz, Integrität und Sicherheit, die dem Verantwortlichen übertragen wurde (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 133).

(bbb) Diese Voraussetzungen sind nicht erfüllt. Die Beklagte hat nicht vorgetragen, dass ihr Aufgaben übertragen wurden, die im öffentlichen Interesse liegen, oder dass ihr öffentliche Gewalt übertragen wurde. Die von der Beklagten mitgeteilten „Sicherheits- und Integritätszwecke“ der Datenverarbeitung genügen hierfür nicht, weil die Tätigkeit der Beklagten als privater Wirtschaftsteilnehmer in erster Linie wirtschaftlichen und kommerziellen Charakter hat. Die vorgetragenen Sicherheits- und Integritätsinteressen betreffen den Schutz der eigenen Server und Leistungsfähigkeit und stehen nicht im öffentlichen Interesse, sondern im kommerziellen Interesse der Beklagten.

An dieser Bewertung ändert auch der ergänzende Vortrag der Beklagten im Schriftsatz vom 20.02.2026 nichts. Dort trägt sie näher zu den Sicherheits- und Integritätszwecken vor, nämlich dass

es bei der Datenverarbeitung um die Erkennung anomaler Aktivitäten gehe, die möglicherweise darauf abzielten, die Dienste der Beklagten zu stören;

ebenso um die Erkennung von feindlichen Akteuren, deren Handlungen gegen die Richtlinien der Beklagten verstoßen könnten, z.B. Hacking-Aktivitäten, Sicherheitsrisiken, insbesondere für Minderjährige, mögliche kriminelle Aktivitäten krimineller Organisationen und Daten aus verbotenen Quellen.

Zum einen beschreibt die Beklagte, dass durch die Datenübermittlung über die Meta Business-Tools Gefahren für die Beklagte entstehen könnten, zu deren Verhinderung die Verarbeitung der Daten notwendig sei. Diese Argumentation ist in sich selbst unlogisch: Würden die streitgegenständlichen Daten nicht illegal erfasst und an die Beklagte übermittelt, könnten sie auch kein Sicherheitsrisiko darstellen. Inwieweit solche angeblichen Risiken tatsächlich bestehen, ist daher nicht entscheidungserheblich.

Zum anderen bestätigt die Beklagte, dass die streitgegenständliche Datenverarbeitung derart umfassend und zielsicher sei, dass sie ermögliche, schwerkriminelle Straftäter aufzuspüren. Die Beklagte nennt hierzu einige Beispiele und nennt ihre „Erfolge“ als Rechtfertigungsgrund, um die streitgegenständliche Überwachung u. a. des Klägers durchzuführen. Soweit die Beklagte dabei u. a. auf den Schutz Minderjähriger vor sexuellem Missbrauch hinweist, räumt sie damit implizit ein, aus der streitgegenständlichen Datenverarbeitung derart sensible Rückschlüsse ziehen zu können, dass sexuelle Neigungen betroffener Personen erkennbar werden. Damit werden unstreitig besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet. Die faktisch von der Beklagten zur Rechtfertigung ihrer Datenverarbeitung bemühte anlasslose Massenüberwachung in Europa ist nicht durch das Interesse gerechtfertigt, einzelne Straftäter aufzuspüren. Erst recht ist es nicht die Aufgabe der Beklagten, Daten für eine anlasslose Massenüberwachung zu verarbeiten, weil eine solche ihr nicht im Sinne der oben zitierten Rechtsprechung des Gerichtshofs der Europäischen Union übertragen worden ist.

(gg) Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO

Schließlich ist die Datenverarbeitung nicht nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gerechtfertigt.

(aaa) Die Verarbeitung personenbezogener Daten ist nach dieser Regelung nur unter drei kumulativen Voraussetzungen rechtmäßig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris 5. Ls.; OLG Hamm, Urteil vom 15.8.2023, I-7 U 19/23, juris Rn. 206).

(bbb) Diese Voraussetzungen lassen sich nicht feststellen. Die Beklagte hat nicht dargetan, weshalb nicht von Anfang an keine oder eine weniger umfangreiche Erfassung, Weiterleitung, Speicherung und Verwendung der über die Business-Tools erlangten personenbezogenen Daten möglich ist. Sie hat auch nicht mitgeteilt, welche konkreten Daten sie zu welchem Zweck verarbeitet. Der Senat kann daher nicht feststellen, ob die Beklagte überhaupt ein berechtigtes Interesse an der Datenverarbeitung hat. Damit kann auch nicht beurteilt werden, ob die von der Beklagten in allgemeiner Form dargestellten Verarbeitungszwecke gegenüber den Interessen und Grundrechten des Nutzers gemäß Art. 7 und Art. 8 GRCh Vorrang beanspruchen können. Auch wenn die Dienste eines sozialen Online-Netzwerks wie „Facebook“ oder „Instagram“ unentgeltlich sind, kann der Nutzer nicht damit rechnen, dass der Betreiber seine personenbezogenen Daten ohne seine Einwilligung für unbekannte Zwecke verarbeitet. Unter diesen Umständen ist davon auszugehen, dass die Interessen und Grundrechte des Nutzers gegenüber dem Interesse des Betreibers überwiegen (vgl. EuGH, Urteil vom 04.07.2023, C-252/21, juris Rn. 117).

b) Unterlassungsantrag zu 2

Der Unterlassungsantrag zu 2 ist über den vom Landgericht erkannten Umfang hinaus begründet.

Mit dem Klagantrag zu 2 begehrt der Kläger die Verurteilung der Beklagten, es zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten gem. Ziff. 1 der Klage - ohne Einwilligung bzw. Rechtfertigungsgrund gemäß Art. 6 Abs. 1, lit. b - e DSGVO - zu verarbeiten.

aa) Die DSGVO ist auch insoweit sachlich, räumlich und zeitlich anwendbar (Art. 2 Abs. 1, 3 Abs. 1 und 99 Abs. 2 DSGVO). Der Unterlassungsanspruch wird für die Zeit ab dem 25.05.2018, dem Tag des Inkrafttretens der DSGVO, verlangt. Es geht um datenschutzbezogene Ansprüche gegen ein in Irland, also mit Sitz in der EU ansässiges Unternehmen.

bb) Ein Unterlassungsanspruch ergibt sich zwar nicht aus Art. 17 DSGVO. Art. 17 DSGVO gibt ein Recht auf Löschung, aber kein Recht auf Unterlassung (EuGH, Urteil vom 04.09.2025, C-655/23, Rn. 43). Die DSGVO steht aber Bestimmungen des nationalen Rechts, aus denen sich Ansprüche auf Unterlassung ergeben können, nicht entgegen (EuGH, aaO., Rn. 46 ff.).

cc) Der Rückgriff auf nationale Vorschriften ist insoweit also möglich (EuGH, a.a.O), und der geltend gemachte Anspruch ergibt sich nach deutschem Recht wegen der Verletzung des allgemeinen Persönlichkeitsrechts des Klägers aus § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1 Art. 1 Abs. 2 GG, § 823 Abs. 2 BGB i.V.m. Art. 6 DSGVO, jeweils i.V.m. § 1004 Abs. 1 S. 2 BGB analog, sowie als Schadensersatz aus §§ 280 Abs. 1, 241 Abs. 2 BGB.

dd) Der Unterlassungsanspruch setzt voraus, dass eine konkrete (Erstbegehungs- oder Wiederholungs-)Gefahr dafür besteht, dass die Beklagte gegenwärtig über die Meta Business-Tools gesammelte personenbezogene Daten des Klägers verarbeitet, die Beklagte Verantwortliche für diese Verarbeitung ist und sie eine Rechtfertigung gem. Art. 6 DSGVO für diese Datenverarbeitung nicht darlegt und beweist. Dass diese Tatbestandsvoraussetzungen vorliegen, ist im Rahmen des vorgreiflichen Feststellungsantrags zu 1 bereits festgestellt worden.

ee) Die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr wird durch das festgestellte rechtsverletzende Verhalten der Beklagten indiziert (vgl. OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, Anlage zum Schriftsatz vom 16.06.2026).

ff) Nicht überzeugend ist die Auffassung des Landgerichts, dass der Klageantrag zu 2 unbegründet sei, soweit der Kläger die Unterlassung der weiteren Verwendung der Daten, beispielsweise zur Erstellung eines Persönlichkeitsprofils oder Weiterleitung an Geheimdienste und Dritte, verlange, weil der Kläger eine solche Verwendung, welche die Beklagte erheblich bestritten habe, nicht bewiesen habe. Das oben festgestellte Verhalten der Beklagten umfasst gem. der Formulierung des Klageantrags zu 2 das Erfassen, Weiterleiten, Speichern und Verwenden von Daten im Sinne der DSGVO. Von dem Kläger dargelegte Beispiele für eine Verwendung durch Weiterleitung an Geheimdienste und Dritte ändern, selbst wenn sie bestritten und unzutreffend sein sollten, nichts daran, dass schon die festgestellte Art der Datenverarbeitung insbesondere auch den Begriff des Verwendens nach der DSGVO erfüllt, so dass für die vom Landgericht vorgenommene Einschränkung der Tenorierung kein Anlass besteht.

c) Unterlassungsantrag zu 3

Entgegen der Auffassung des Landgerichts ist auch der Unterlassungsanspruch zu 3 begründet.

Er ist darauf gerichtet, die über die aktuelle Speicherung hinausgehende Verarbeitung i. S. d. Art. 4 Nr. 2 DSGVO sämtlicher unter dem Antrag zu 1 a., b. und c. aufgeführten, seit dem 25.05.2018 bereits von der Beklagten verarbeiteten personenbezogenen Daten bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, bis zur Erfüllung des Löschungsanspruchs nach rechtskräftigem Abschluss des Verfahrens zu unterlassen, insbesondere diese nicht an Dritte zu übermitteln.

Entgegen der Würdigung des Landgerichts geht der Senat aus den obigen Gründen (vgl. a) ff)) davon aus, dass durch die Beklagte eine Datenverarbeitung in dem o. g. Sinne erfolgt. Diese ist bis zur Erfüllung des Löschungsanspruchs nach rechtskräftigem Abschluss des Verfahrens zu unterlassen.

d) Löschungs- und Anonymisierungsantrag zu 4

Der vom Senat wie oben dargestellt ausgelegte Löschungs- und Anonymisierungsantrag zu 4 ist in der Sache selbst begründet. Der Kläger hat gegen die Beklagte einen Anspruch auf Löschung sämtlicher durch die Meta Business-Tools übermittelten und gespeicherten personenbezogenen Daten i.S.v. lit. a. des Antrags zu 1 gemäß Art. 17 Abs. 1 lit. d DSGVO und einen Anspruch auf Anonymisierung, wahlweise Löschung der Daten zu lit. b. und c.

aa) Nach Art. 17 Abs. 1 lit. d DSGVO hat der Betroffene das Recht, von dem Verantwortlichen zu verlangen, dass ihn betreffende personenbezogene Daten gelöscht werden, sofern die Daten unrechtmäßig verarbeitet werden.

bb) Diese Voraussetzungen sind erfüllt. Der Kläger ist Betroffener. Die Beklagte ist verantwortlich für die Datenverarbeitung und verarbeitet die personenbezogenen Daten des Klägers unrechtmäßig. Es greift keine Ausnahme nach Art. 17 Abs. 3 DSGVO.

(1) Anspruch auf Löschung bzgl. der Daten zu 1 a.

Die Verarbeitung der über die Meta Business-Tools erlangten Daten verstößt - mangels Vorliegens einer entsprechenden Einwilligung des Klägers - gegen den in Art. 5 Abs. 1 lit. a DSGVO normierten Grundsatz der rechtmäßigen Datenverarbeitung.

Des Weiteren liegt ein Verstoß gegen den Grundsatz der Zweckbindung der Datenverarbeitung i.S.v. Art. 5 Abs. 1 lit. b DSGVO vor.

Schließlich lässt sich ein Verstoß gegen den Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c, Art. 25 Abs. 2 Satz 1 und 3 DSGVO feststellen. Im Einzelnen:

(a) Datenverarbeitung durch die Beklagte

Die Beklagte erlangt und verarbeitet personenbezogene Daten des Klägers im Sinne des Art. 4 Nr. 1, 17 Abs. 1 DSGVO.

(aa) Die Feststellung des Landgerichts, dass die Beklagte über ihre Meta Business-Tools von Dritten Informationen über die Bewegungen/den Besuch des Klägers auf Webseiten und Apps Dritter erlangt, bindet den Senat nach § 529 Abs. 1 Nr. 1 ZPO.

(aaa) Der Senat ist davon überzeugt, dass die Beklagte mit den Meta Business-Tools eine potentiell unbegrenzte Menge an personenbezogenen Daten des Klägers verarbeitet, indem sie dessen Aktivitäten auf Dritt-Webseiten und Dritt-Apps verfolgt. Sie erhebt mit den Meta Business-Tools umfassend - also allgemein und unterschiedslos - personenbezogene Daten der Nutzer, darunter des Klägers, über deren Tätigkeiten außerhalb ihres Netzwerks, darunter u.a. Daten über den Abruf von Webseiten und Apps Dritter. Bestimmte technische Standarddaten gelangen dabei automatisch an die Beklagte, wenn der Nutzer eine Dritt-Webseite oder eine Dritt-App aufruft. Zwischen den Parteien ist auch unstreitig, dass die Beklagte über die Meta Business-Tools Kontaktinformationen und/oder Event-Daten der Nutzer auf den Dritt-Webseiten und Dritt-Apps erhält, wenn der Partner bei Einbettung der Meta Business-Tools in seine Webseite bzw. App eine entsprechende Einstellung vorgenommen hat. Dabei handelt es sich um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO, weil die Beklagte unstreitig in der Lage ist, diese Daten des Klägers zuzuordnen.

(bbb) Die Beklagte zeigt mit ihrer Berufung keine Anhaltspunkte für Zweifel an der Richtigkeit und Vollständigkeit dieser Feststellung auf. Der Kläger kann und muss nicht wissen, auf welchen konkreten Dritt-Webseiten und Dritt-Apps die Meta Business-Tools Verwendung finden. Zwar ist ein Kläger insoweit grundsätzlich darlegungs- und beweispflichtig. Nach der Rechtsprechung des Bundesgerichtshofs ist die Partei jedoch berechtigt, Behauptungen zu Vorgängen, die sich ihrer unmittelbaren Kenntnis entziehen, auch ohne eine dahingehende positive Kenntnis und nur auf eine Vermutung gestützt aufzustellen. Die auf eine solche Vermutung gestützte Behauptung des Klägers über seine Betroffenheit von den Meta Business-Tools ist angesichts seiner unbestrittenen Nutzung des Internets und der Verbreitung/Reichweite der Meta Business-Tools naheliegend. Die Beklagte hat selbst vorgetragen, dass die Meta Business-Tools „von Millionen von kleineren und größeren Organisationen auf der ganzen Welt“ genutzt würden und ein „allgegenwärtiger und integraler Bestandteil der alltäglichen Internetnutzung und ihrer Funktionen“ seien. Die Betroffenheit des Klägers ist vor diesem - von der Beklagten selbst vorgetragenen - Hintergrund so wahrscheinlich, dass an ihr für den Senat keine vernünftigen Zweifel bestehen. Die Beklagte kann sich bei einer solchen Sachlage nicht auf ein Bestreiten mit Nichtwissen zurückziehen, dass der Kläger Dritt-Webseiten bzw. Dritt-Apps mit Meta Business-Tools besucht hat. Denn sie allein weiß genau, von welchen konkreten Dritt-Webseiten und Dritt-Apps sie Informationen über den Kläger erhalten hat. Daher muss sie den Vortrag des Klägers konkret bestreiten (§ 138 Abs. 1 und Abs. 2 BGB), was sie nicht getan hat. Abgesehen davon hat das Landgericht das Ergebnis der persönlichen Anhörung des Klägers zu von ihm genutzten Dritt-Webseiten in dem angefochtenen Urteil gewürdigt, ohne dass die Beklagte insoweit einen Verstoß gegen die §§ 286, 529 Abs. 1 ZPO aufgezeigt hat. Der Senat ist von der Richtigkeit der plausiblen Angaben des Klägers überzeugt.

(ccc) Die Beklagte nimmt auch eine Verarbeitung der von Dritten erlangten Daten vor, indem sie diese Daten - zumindest - speichert. Auch die diesbezügliche Feststellung im erstinstanzlichen Urteil, dass die an die Beklagte übermittelten Daten - zumindest - gespeichert und damit verarbeitet i.S.v. Art. 4 Nr. 2 DSGVO werden, ist für den Senat nach § 529 Abs. 1 Nr. 1 ZPO bindend, weil die Beklagte sie aus den o. g. Gründen nicht erheblich angegriffen hat. Dass die Beklagte eine Verarbeitung der über die Meta Business-Tools von Dritten erlangten Daten vornimmt, hat sie selbst eingeräumt. Entgegen der von ihr wiederholt geäußerten Ansicht ist es - nach den oben unter (bbb) dargelegten Grundsätzen - gerade nicht Sache des Klägers, dazu vorzutragen und zu konkretisieren, welche Form der Datenverarbeitung die Beklagte vornimmt.

(ddd) Wie die Beklagte mit den bei ihr erhobenen Informationen weiter verfährt, hängt zwar teilweise von den Datenschutz-Einstellungen des jeweiligen Nutzers ab. Entscheidet sich der Nutzer dafür, Werbung mithilfe der Informationen von Werbepartnern zu seinen Aktivitäten relevanter zu machen, erhält er stärker personalisierte Werbung. Erlaubt der Nutzer der Beklagten nicht, Cookies und vergleichbare Technologien in anderen Apps und auf anderen Webseiten zu nutzen, so werden die dort erhobenen Daten nicht verwendet, um personalisierte Werbung zu erzeugen und anzuzeigen. Gleichwohl erhält und verwendet die Beklagte die Daten. So kann es sein, dass die Beklagte weiterhin „aggregierte Informationen zu Aktivitäten“ des Nutzers erhält. Es werden zwar „weniger Informationen“ über den Nutzer verwendet. Die Daten werden dennoch auch nach Vortrag der Beklagten - für „andere Zwecke“ - verarbeitet, z.B. zum Schutz der Sicherheit und Integrität der Server oder zur Messung der Effektivität von Werbekampagnen. Der Nutzer hat weiter die Möglichkeit, die Verknüpfung künftiger Aktivitäten mit seinem Konto aufzuheben und frühere Aktivitäten zu löschen. In diesem Fall erhält die Beklagte aber weiterhin Informationen zu seinen Aktivitäten, die für Messungen sowie zur Verbesserung der Werbesysteme verwendet werden. Der Kläger kann also unabhängig von seiner Einwilligung die Erhebung von personenbezogenen Daten über die Meta Business-Tools, die Übersendung und die Speicherung nicht vollständig verhindern.

(eee) Dem steht der Einwand der Beklagten, sie verarbeite die streitgegenständlichen Daten des Klägers nicht zur Bereitstellung personalisierter Werbung, weil dieser nicht zugestimmt habe, nicht entgegen. Denn dem Kläger geht es, wie er auch im Berufungsverfahren mehrfach betont hat, um einen umfassenden Schutz gegen die massenhafte Erhebung der Daten über die Meta Business-Tools und deren anschließende Verarbeitung - unabhängig davon, zu welchem Zweck die Beklagte die Daten verwendet. Unerheblich ist auch, ob andere Unternehmen vergleichbare Tools anbieten.

(b) Verantwortliche

Die Beklagte ist für die Datenverarbeitung Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO (s. o.).

(2) Anspruch auf Löschung bzw. Anonymisierung bzgl. der Daten zu 1. b. und c.

Soweit der Kläger hinsichtlich der Daten zu 1. b. und c. Anonymisierung oder wahlweise nach Wahl der Beklagten Löschung der personenbezogenen Daten verlangt, enthält Art. 17 Abs. 1 lit. d DSGVO zwar nur eine Anspruchsgrundlage für eine Löschung der Daten, nicht aber für eine Anonymisierung (Senat, Urteil vom 09.03.2026, I-8 U 21/25, juris). Wie der Inhalt dieses in dem Verlangen gleichzeitig liegenden Angebots des Klägers auf eine wahlweise Erfüllung durch Anonymisierung materiell-rechtlich genau einzuordnen ist, braucht der Senat dennoch nicht zu entscheiden. Denn es beschwert die Beklagte nicht, wenn sie statt der Löschung der Daten auch eine Anonymisierung vornehmen kann.

e) Zahlungsantrag zu 5 (Zahlung von Schadensersatz)

Der Zahlungsantrag zu 5 ist voll begründet, soweit er in das Ermessen des Senats gestellt worden, mit mindestens 1.000,00 € angegeben worden und in der Begründung mit einer Größenordnung von bis zu 5.000,00 € veranschlagt worden ist. Der Senat hält einen von Antrag und Vortrag abgedeckten Betrag von 1.500,00 € für angemessen und ausreichend.

aa) Schadensersatz wegen Verstoßes gegen die DSGVO

Der Kläger hat gegen die Beklagte einen Anspruch auf Schadensersatz wegen Verstoßes gegen die DSGVO in Höhe von 1.500,00 € gemäß Art. 82 Abs. 1 DSGVO.

(1) Der Kläger macht einen einheitlichen Anspruch auf Schadensersatz gemäß Art. 82 Abs. 1 DSGVO geltend, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen, nämlich der Verwendung der Meta Business-Tools, wurzelt. Das ist nach der Rechtsprechung des Bundesgerichtshofs zulässig (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 16).

(2) Nach der Rechtsprechung des Bundesgerichtshofs erfordert ein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO einen Verstoß gegen die DSGVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 21 mwN). Dabei kommt es nicht darauf an, ob einer oder mehrere Verstöße gegen die DSGVO festgestellt werden können, weil der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führt (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 25 mwN).

Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines Schadens verlangt. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor. Die Exkulpation obliegt nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 21 mwN).

(3) Die Anspruchsvoraussetzungen sind dem Grunde nach erfüllt.

(a) Die Vorgehensweise der Beklagten verstößt u.a. gegen den Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c, Art. 25 Abs. 2 S. 1 und 3 DSGVO (s.o.). Die Datenverarbeitung ist rechtswidrig.

(b) Der Kläger hat einen immateriellen Schaden erlitten.

(aa) Nach der Rechtsprechung des Europäischen Gerichtshofs und des Bundesgerichtshofs ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass selbst ein kurzzeitiger Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten ausreichen kann, um einen „immateriellen Schaden“ zu verursachen, sofern nachgewiesen wird, dass tatsächlich ein in dem Kontrollverlust bestehender Schaden - so geringfügig er auch sein mag - entstanden ist, ohne dass der Nachweis zusätzlicher spürbarer negativer Folgen erforderlich wäre (EuGH, Urteil vom 04.10.2024, C-200/23, juris Rn. 145, 156; BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 30). Steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar, ohne dass es sich daraus entwickelnder besonderer Befürchtungen oder Ängste der betroffenen Person bedarf (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 31).

(bb) Die Voraussetzungen sind erfüllt. Für den Kläger stellt die Tatsache, dass eine erhebliche Menge personenbezogener Daten, die seinem Benutzerkonto zugeordnet sind oder die ihm - z.B. mittels eines Abgleiches von IP-Adressen - zugeordnet werden können, sich auf Servern der Beklagten in der ganzen Welt und bei Partnern, Anbietern für Messlösungen, Dienstleistern und Dritten befinden, einen erheblichen Kontrollverlust dar. Als Dritte, mit denen Informationen geteilt werden, bezeichnet die Datenschutzrichtlinie der Beklagten Werbetreibende, Unternehmen, die Produkte für die Beklagte vermarkten oder die mit Kundenservice oder Umfragen beauftragt werden und Forscher. Ausweislich der Datenschutzrichtlinie der Beklagten (vgl. S. 67 ff. der Anlage K 1) behält die Beklagte Daten so lange, wie sie benötigt werden, um die Produkte der Beklagten bereitzustellen, rechtliche Verpflichtungen zu erfüllen oder bestimmte Interessen zu schützen. Der Suchverlauf des Nutzers wird gespeichert, bis der Nutzer ihn löscht, nur die Informationen zum verwendeten Gerät oder einem Standort werden nach sechs Monaten automatisch gelöscht. Es ist damit - auch in zeitlicher Hinsicht - von einem erheblichen Kontrollverlust auszugehen.

(cc) Diesem Kontrollverlust hat die Beklagte ohne Erfolg Vortrag zur Wirkungsweise des Meta-Pixels und zu der Bedeutung der Entscheidung des Nutzers über die Cookie-Banner beim Aufrufen einer Drittwebsite entgegengehalten. Aus den obigen Gründen ist dieser Vortrag rechtlich unerheblich. Ein Nutzer hat es - die Funktionsweise des Meta-Pixels wie von der Beklagten dargelegt unterstellt - gleichwohl nicht selbst in der Hand, ob - was die gemeinsam verantwortliche Beklagte nicht kontrolliert - die Meta Business-Tools durch den Drittwebsite-Betreiber richtig implementiert werden und damit auch richtig funktionieren.

(c) Der erforderliche Kausalzusammenhang zwischen Schaden und Verstoß gegen die DSGVO ist gegeben, weil der Schaden die unmittelbare Folge der unrechtmäßigen Datenverarbeitung ist, also durch den Verstoß u. a. gegen den Grundsatz der Datenminimierung entstanden ist.

(d) Das Verschulden der Beklagten wird nach Art. 82 DSGVO vermutet, weil sich der Verantwortliche gemäß Art. 82 Abs. 3 DSGVO zu exkulpieren hat. Die Beklagte hat sich nicht entlastet.

(e) Der durch den Kontrollverlust entstandene immaterielle Schaden ist in Übereinstimmung mit der Senatsrechtsprechung in Parallelfällen (Urteile vom 09.03.2026, I-8 U 13/25 und I-8 U 21/25) auch im vorliegenden Fall nicht lediglich wie vom Landgericht angenommen mit 500,00 €, sondern gemäß § 287 ZPO mit 1.500,00 € zu bewerten.

(aa) Für die Schätzungshöhe ist zu berücksichtigen, dass in Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadensersatzanspruchs von einer „vollständigen und wirksamen“ Entschädigung auszugehen ist, wenn sie den aufgrund des Verstoßes gegen die Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen in der Lage ist. Ob einer oder mehrere Verstöße gegen die DSGVO festgestellt werden können, kann für die Schadensbemessung dahinstehen. Da der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion und keine Abschreckungs- oder Straffunktion erfüllt, führt das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes (s.o.). Bei der Schätzung des Schadens sind insbesondere die Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Daneben spielen die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), seine Dauer und die Möglichkeit der Wiedererlangung der Kontrolle, etwa durch Entfernung einer Veröffentlichung aus dem Internet oder Änderung der betroffenen personenbezogenen Daten (zum Beispiel Rufnummernwechsel oder neue Kreditkartennummer) eine Rolle (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, juris Rn. 99).

(bb) Der Senat hält es nach einer Gesamtabwägung aller maßgeblichen Umstände für erforderlich und ausreichend, den notwendigen Ausgleich für den eingetretenen Kontrollverlust mit 1.500,00 € zu beziffern. Der Verstoß gegen die DSGVO betrifft den persönlichen Lebensbereich des Klägers. Die Datenverarbeitung umfasst dabei auch sehr sensible Informationen, die für die Vertragszwecke nicht im Ansatz erforderlich waren. Der Kläger kann die personenbezogenen Daten gar nicht mehr oder nur noch mit ganz erheblichem Aufwand kontrollieren, insbesondere soweit die Beklagte diese an Dritte und in andere Länder weitergeleitet hat. Die Dauer des Verstoßes gegen u.a. den Grundsatz der Datenminimierung erstreckt sich über mehrere vergangene Jahre und wirkt in die Zukunft. Die Datenschutzrichtlinie der Beklagten geht davon aus, dass der Suchverlauf gespeichert bleibt, bis der Nutzer ihn löscht; nur Informationen zum verwendeten Gerät oder einem Standort werden nach sechs Monaten automatisch gelöscht (vgl. S. 67 ff. der Anlage K 1). Der Kläger hat bei seiner Anhörung vor dem Landgericht bekundet, dass er absolut kein gutes Gefühl damit habe, dass beim Surfen im Internet jederzeit Daten an die Beklagte übermittelt werden könnten, zumal er aus seinem beruflichen Umfeld als Banker wisse, wie vorsichtig man mit Daten umgehen müsse, gerade auch wenn es Themen wie Finanzen oder Gesundheit angehe. Er habe kein gutes Gefühl damit, dass irgendjemand ein Bild von seinen entsprechenden Bewegungen im Internet habe (Protokoll vom 23.01.2025, Bl. 1782 eGA I). Das Bestreiten der subjektiven Empfindungen des Klägers durch die Beklagte mit Nichtwissen gem. § 138 Abs. 4 ZPO ist für die den Senat gem. § 529 Abs. 1 Nr. 1 ZPO bindende Überzeugungsbildung des Landgerichts unerheblich gewesen. Ein unbeschwertes Surfen im Internet ist dem Kläger angesichts der umfänglichen Verbreitung der Meta Business-Tools glaubhaft und nachvollziehbar nicht mehr möglich. Demgegenüber kann die Beklagte die unrechtmäßige Datenverarbeitung jedenfalls in ihrer Einflusssphäre unverzüglich und umfassend beenden. Der Senat geht davon aus, dass die Beklagte die volle Kontrolle über die von ihr verarbeiteten Daten hat.

bb) Schadensersatz wegen Verletzung des allgemeinen Persönlichkeitsrechts

Der Kläger hat gegen die Beklagte keinen weitergehenden Schadensersatzanspruch wegen Verletzung des allgemeinen Persönlichkeitsrechts gemäß § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG.

(1) Zwar kann nach der Rechtsprechung des Bundesgerichtshofs die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts einen eigenen Anspruch auf eine Geldentschädigung begründen, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann. Die Zubilligung einer Geldentschädigung unter diesen Voraussetzungen findet ihre sachliche Berechtigung in dem Gedanken, dass das Persönlichkeitsrecht gegenüber schwerwiegenden Beeinträchtigungen anderenfalls ohne ausreichenden Schutz bliebe mit der Folge, dass der Rechtsschutz der Persönlichkeit verkümmern würde (BGH, Urteil vom 12.03.2024, VI ZR 1370/20, juris Rn. 70).

(2) Der Senat ist jedoch der Auffassung, dass die Beeinträchtigung des Klägers schon durch den Zuspruch eines angemessenen Betrages gemäß Art. 82 DSGVO befriedigend aufgefangen werden kann. Darauf, dass nur deutlich höhere immaterielle Schadensersatzansprüche von deutlich mehr Betroffenen die Beklagte wirtschaftlich so träfen, dass sie mit der Fortsetzung ihrer Praxis keine Milliardengewinne mehr erziele, kommt es im vorliegenden Einzelfall nicht entscheidungserheblich an.

cc) Zinsen

Der Kläger hat gegen die Beklagte einen Anspruch auf Rechtshängigkeitszinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 20.03.2024 gemäß §§ 291, 288 Abs. 1 S. 2 BGB. Das weitergehende Zinsbegehren ist unbegründet.

Die Klage ist mit Zustellung am 19.03.2024 (vgl. S. 2 des Schriftsatzes vom 16.04.2024, Bl. 217 eGA I) rechtshängig (§§ 253 Abs. 1, 261 Abs. 1 ZPO) geworden. Der Zinsanspruch besteht ab dem Folgetag (§ 187 Abs. 1 BGB analog).

Demgegenüber besteht kein weitergehender Anspruch auf Verzugszinsen aus §§ 280 Abs. 1, Abs. 2, 286, 288 BGB. Die Zahlungsaufforderung des Klägers vom 19.06.2023 (Anlage K 3) enthält - ungeachtet der Frage, ob die Beklagte das Schreiben tatsächlich erhalten hat oder nicht - eine Zuvielforderung, weil der Kläger die Beklagte zur Zahlung eines Schadensersatzes in Höhe von 5.000,00 € aufforderte. Die Forderung eines zu hohen Betrags ist nur dann eine wirksame Mahnung, wenn der Schuldner die Erklärung des Gläubigers nach den Umständen des Falls als Aufforderung zur Bewirkung der tatsächlich geschuldeten Leistung verstehen muss und der Gläubiger zur Annahme der gegenüber seinen Vorstellungen geringeren Leistung bereit ist (vgl. Grüneberg, in: Grüneberg, BGB, 85. Aufl., § 286 Rn. 20 mwN). Diese Umstände lassen sich der Zahlungsaufforderung nicht entnehmen.

f) Freistellungsantrag zu 6

Der Freistellungsantrag zu 6 ist unbegründet.

Der Kläger hat gegen die Beklagte aus keiner in Betracht kommenden Anspruchsgrundlage einen Anspruch auf Freistellung von vorgerichtlichen Rechtsanwaltskosten.

Der Senat lässt offen, ob die Rechtsschutzversicherung des Klägers die vorgerichtlichen Rechtsanwaltskosten getragen hat, so dass ein gesetzlicher Forderungsübergang nach § 86 Abs. 1 Satz 1 VVG erfolgt ist, oder sich die Deckung gem. dem Vortrag des Klägers im Schriftsatz vom 19.05.2026 nebst Anlage nicht auf die außergerichtlichen Kosten bezieht.

Denn jedenfalls ist der Senat nicht im Sinne des § 286 Abs. 1 ZPO davon überzeugt, dass der Kläger seinen Bevollmächtigten zunächst einen nur bedingten Klageauftrag erteilt hat. Zwar behauptet er im Schriftsatz vom 19.05.2026, ihm sei dieses Vorgehen ausdrücklich empfohlen worden. So sei ihm mit E-Mail vom 19.06.2023 erläutert worden, dass zunächst eine außergerichtliche Aufforderung an die Beklagte erfolgen und - abhängig von der Reaktion der Beklagten - erst im Anschluss Klage erhoben werden solle. Diesen Vortrag hat die Beklagte mit Schriftsatz vom 17.06.2026 bestritten und der Kläger hat keinen Beweis angetreten, insbesondere nicht durch Vorlage der E-Mail vom 19.06.2023 gemäß § 420 ZPO. Da die behauptete E-Mail und das Aufforderungsschreiben vom selben Datum stammen, ist zudem weder vorgetragen noch plausibel, dass der Kläger auf die E-Mail seiner Bevollmächtigten vom 19.06.2023 überhaupt mit einem bedingten Klageauftrag in dem behaupteten Sinne reagiert haben soll, bevor am selben Tage das außergerichtliche Aufforderungsschreiben an die Beklagte gerichtet worden ist.

Im Übrigen war im Sommer 2023 bekannt, dass die Beklagte jegliche Inanspruchnahme von sich wies, so dass der Kläger vertreten von seinen mit einer Vielzahl von Parallelverfahren befassten Prozessbevollmächtigten nicht mit ernsthaften Erfolgsaussichten einer vorgerichtlichen Aufforderung rechnen durfte. Der Vortrag des Klägervertreters im Senatstermin vom 24.06.2026 rechtfertigt keine andere Bewertung. Nur dann, wenn der Kläger einer der allerersten in den allesamt von den Prozessbevollmächtigten des Klägers betriebenen Parallelverfahren gewesen wäre, in dessen Fall eine außergerichtliche Aufforderung an die Beklagte erging - was der Kläger nicht näher behauptet -, hätte ggf. noch von einer ernsthaften Erfolgsaussicht der außergerichtlichen Aufforderung und damit einer zweckentsprechenden bedingten Klagebeauftragung ausgegangen werden können. Insoweit zeigt indes das vom Kläger selbst als Anlage zum Schriftsatz vom 19.05.2026 vorgelegte Schreiben der Rechtsschutzversicherung vom 31.08.2023, das nur gut zwei Monate nach dem Aufforderungsschreiben vom 19.06.2023 datiert, dass schon seinerzeit die mangelnde Vergleichs-bereitschaft der Beklagten bekannt war („Gebühren für die vorgerichtliche Tätigkeit können wir nicht übernehmen. In Anbetracht der zurückliegenden Erfahrungen in gleichgelagerten Fällen ist bekannt, dass eine außergerichtliche Einigungsbereitschaft der Gegenseite nicht besteht. Aufgabe des Rechtsanwaltes ist es, seinen Mandanten auf den kostengünstigsten Weg hinzuweisen. Dieser besteht vorliegend in einem unbedingten Klageauftrag. Dass Ihrer Mandantschaft hierdurch Nachteile bei der Rechtsverfolgung und Rechtsdurchsetzung drohen könnten, ist nicht ersichtlich und wird von Ihnen auch nicht vorgetragen.“). Dieser Bewertung der eigenen Rechtsschutzversicherung des Beklagten schließt sich der Senat an.

C.

Die Kostenentscheidung beruht auf §§ 92 Abs. 2 Nr. 1, 97 Abs. 1 ZPO, die Entscheidung zur vorläufigen Vollstreckbarkeit folgt aus den §§ 708 Nr. 10 (vermögensrechtliche Streitigkeit nur hinsichtlich der Zahlungsbegehren), 709 (nichtvermögensrechtliche Hauptsachetenöre zu 1 bis 4), 713 ZPO.

Der Senat sieht am Maßstab des § 543 Abs. 1 und 2 ZPO gemessen keine Veranlassung, die Revision zuzulassen. Das Urteil hält sich an die Vorgaben der zitierten höchstrichterlichen Rechtsprechung und es besteht keine Divergenz zu anderweitigen obergerichtlichen Entscheidungen in höchstrichterlich ungeklärten grundlegenden Rechtsfragen.