Kein DSVGO-Schadensersatz bei bloßen Bagatellschäden

Landgericht Karlsruhe

Urteil v. 09.02.2021 - Az.: 4 O 67/20

Leitsatz

Kein DSVGO-Schadensersatz bei bloßen Bagatellschäden

Tenor

In dem Rechtsstreit gegen (...)

wegen Schadensersatz nach Datenschutzverletzung

hat das Landgericht Karlsruhe - Zivilkammer IV - durch (...) als Einzelrichter am 09.02.2021 aufgrund der mündlichen Verhandlung vom 12.01.2021 für Recht erkannt:

1. Die Klage wird abgewiesen.

2. Der Kläger hat die Kosten des Rechtsstreits zu tragen. 

3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.

Sachverhalt

Der Kläger macht wegen eines Datenverlusts immaterielle Ansprüche geltend.

Die Beklagte ist Herausgeberin der Kreditkarte „Mastercard". Der Kläger ist ein in Karlsruhe lebender Verbraucher, der eine Kreditkarte der Beklagten nutzt.

Die Beklagte unterhielt ein Kundenbindungsprogramm, welches sie unter dem Namen „Priceless Specials" vermarktet. Dabei gab es eine im Internet erreichbare Plattform, auf der Nutzer einer Kreditkarte der Beklagten sich registrieren konnten. In der Plattform waren personenbezogene Daten der Nutzer (wie etwa ihre Namen, Adressen und Kreditkartendaten) hinterlegt.

Käufe über die auf der Plattform hinterlegten Kreditkarten generierten Punkte („Coins"), die wiederum in Prämien gewandelt werden können. Der Kläger war Nutzer dieser Plattform „Priceless Specials".

Am 22. August 2019 informierte die Beklagte den Kläger darüber, dass es auf der „Priceless Specials"-Plattform einen Angriff gegeben habe, durch den möglicherweise verschiedene personenbezogene Daten des Klägers von Dritten entwendet werden konnten. In dieser E-Mail teilte die Beklagte dem Kläger ferner mit, dass sein Name, Geburtsdatum, Geschlecht, Postanschrift, E-Mail-Adresse, Telefonnummer und möglicherweise die Kreditkartennummer entwendet worden seien. Das Ablaufdatum und die Prüfnummer hingegen seien nicht betroffen.

Im Internet kursierte Dateien mit sensiblen Datensätzen von zahlreichen Nutzern der „Priceless Specials" Plattform, unter anderem auch des Klägers.

Der Prozessbevollmächtigte des Klägers forderte die Beklagte mit Schreiben vom 6. September 2019 zur Auskunft darüber auf, welche personenbezogenen Daten sie über den Kläger im Rahmen des Bonusprogramms „Priceless Specials" verarbeitet habe, welche dieser Informationen vom Sicherheitsvorfall betroffen gewesen seien, ob die Daten entsprechend dem PCI DSS Standard gespeichert worden seien und ob und wenn ja welche Daten verschlüsselt gespeichert worden seien.

Nachdem der Prozessbevollmächtigte des Klägers am 23. Oktober 2019 den Prozessbevollmächtigten der Beklagten unter anderem auch eine Vollmacht des Klägers übermittelt hatte, erteilte die Beklagte mit Email vom 23. November 2019 Auskünfte, hinsichtlich der Einzelheiten wird auf die Anlagen B4 - B6 Bezug genommen.

Der Kläger behauptet, die Beklagte habe Penetrationstests unterlassen. Es sei eine unsichere Version der SSL-Verschlüsselung verwendet und auf eine Zwei-FaktorAuthentifizierung verzichtet worden. Der Kläger meint, die Beklagte müsste im Rahmen einer sie treffenden sekundären Darlegungslast näher zu den getroffenen Schutzmaßnahmen darlegen. Die Beklagte habe bereits seit dem Jahr 2018 Hinweise auf eine Sicherheitslücke erlangt, hierauf aber nicht reagiert.

Er ist der Rechtsauffassung, ihm stehe wegen des Verlustes der Privatheit der Daten ein Schadensersatzanspruch zu, der auch die immateriellen Schäden umfasse (Art. 82 Abs.1 DSGVO).

Soweit ihm nach Art 15 DSGVO ein umfassender Auskunftsanspruch zugestanden habe, der nicht auf Basisdaten beschränkt gewesen sei, sei die erteilte Auskunft offensichtlich unvollständig gewesen. So habe Auskunft weder die vollständige Kreditkartennummer umfasst, noch die Frage ob die Daten des Klägers vom Vorfall betroffen seien, abschließend geklärt, noch das Passwort umfasst und auch die Transaktionsdaten nicht vollständig angegeben. Wegen der aus seiner Sicht verspäteten Auskunftserteilung stellt sich der Kläger ein Schmerzensgeld von 1.000,00 € vor.

Ein Schaden des Klägers liege auch bereits deshalb vor, weil diese Daten für „Identitätsbetrug“, betrügerische Bestellungen im Internet, unverlangte Werbeanrufe, Telefonbetrügereien und die Verbeitung von Spam und Phisching genutzt werden könnten. Darüber hinaus ließen die Daten aus der Einkaufshistorie detaillierte Einblicke in die Persönlichkeit des Klägers, insbesondere in seine Einkaufsgewohnheiten zu. Zwar sei die Einkaufshistorie nicht in der CSV-Datei enthalten gewesen, welche die Hacker im Internet veröffentlicht hatten. Es sei aber wahrscheinlich, dass auch diese entwendet worden sei. Insoweit stellt sich der Kläger ein Schmerzensgeld vor, das mindestens 4.000,00 € betragen solle.

Der Kläger hatte zunächst in der ersten Stufe beantragt: Die Beklagte wird verurteilt dem Kläger Auskunft darüber zu erteilen, (aa) welche personenbezogenen Daten des Klägers sie im Rahmen des Bonusprogramms „Priceless Specials" verarbeitet (bb) welche dieser Informationen von Drit¬ten entwendet wurden, (cc) insbesondere ob das Ablaufdatum oder die Prüfziffer der Kreditkarten betroffen sind, (dd) welche Daten entsprechend dem PCI DSS Standard gespeichert wurden, (ee) ob und wenn ja welche Daten verschlüsselt gespeichert wurden, (ff) seit wann die Daten des Klägers der Sicherheitslücke ausgesetzt waren und (gg) ob die Sicherheitslücke durch mehrere
Unbefugte ausgenutzt wurde.

Nachdem die Parteien den Rechtsstreit insoweit übereinstimmend für erledigt erklärt haben, beantragt der Kläger zuletzt:
die Beklagte zu verurteilen, an den Kläger einen angemessenen immateriellen Schadens¬ersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, jedoch mindestens 5.000 EUR, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen.

Die Beklagte beantragt, die Klage abzuweisen.

Sie behauptet, sie habe vor dem 19.08.2019 keine Hinweise auf Sicherheitslücken des Bonusprogramms gehabt. Sie hätte den Datenvorfall auch nicht verhindern können. So habe sie die Unternehmen, welches die Plattform betrieben habe, sorgfältig ausgewählt, instruiert und in Bezug auf die Einhaltung der Vorgaben des Datenschutzes überwacht. Sie habe alle ihr nach der DSGVO obliegenden Pflichten erfüllt.

Die Daten, aus welchen der Kläger seine Einkaufshistorie herleite, seien von dem Datenvorfall überhaupt nicht betroffen.

Sie ist der Rechtsauffassung, die Geltendmachung der Auskunftsansprüche im Wege der Stufenklage sei schon unzulässig gewesen. Im Übrigen sei der Auskunftsanspruch zu unbestimmt ge¬wesen. Ein weiterer Auskunftsanspruch habe dem Kläger zudem nicht zugestanden, denn die Beklagte habe die vom Kläger begehrte Auskunft nach Art. 15 Abs. 1 DSGVO bereits mit Schreiben vom 23.10.2019 erteilt. Die weiteren Auskünfte habe sie aus Kulanz erteilt.

Die mit dem Antrag bb) erfragten Daten habe der Kläger im Übrigen bereits gekannt und habe sie deshalb auf S.6 seiner Klagschrift (teilweise verdeckte Version der Kreditkartennummer, Name, Anschrift, Geburtsdatum, Telefonnummern, E-Mailadresse, Registrierungsdatum) aufgelistet, wobei klarzustellen sei, dass die Anschrift des Klägers schon gar nicht erfasst gewesen sei.

Im Übrigen sei das Ausunftsbegehren des Klägers in den Anträgen bb) bis gg) rechtsmißbräuch¬lich, weil das verfolgte Ziel nicht von der DSGVO gedeckt sei.

Die bloße kurzzeitige Veröffentlichung der personenbezogenen Daten stelle weder einen materi¬ellen noch einen immateriellen Schaden der betroffenen Nutzer dar.

Hinsichtlich des weiteren Parteivorbringens wird auf das Protokoll der mündlichen Verhandlung und die vorbereitenden Schriftsätze Bezug genommen.

Entscheidungsgründe

I.

Die zulässige Klage ist unbegründet. Der Kläger hat gegen die Beklagte keinen Anspruch auf ein Schmerzensgeld nach Art 82 Abs.1 DSGVO.

1.
Allein der Umstand, dass es zu einem Datendiebstahl gekommen ist, dürfte einen sicheren Schluss auf einen Verstoß gegen Art 5 Abs. 1 DSGVO nicht zulassen. Ob der Beklagte tatsächlich ein Verstoß gegen die Datenschutz-Grundverordnung vorzuwerfen ist, kann aber dahinstehen.

2.
Denn der Kläger hat keinen Schaden dargelegt, der über einen Bagatellschaden hinausginge. 

Zutreffend ist zwar, dass Art 82 Abs.1 DSGVO vorsieht, dass jede Person, der wegen eines Verstoßes gegen die Datenschutzgrundverordnung ein auch immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen hat.

Anders als nach dem alten Recht (§ 8 Abs. 2 BDSG a. F.) ist inzwischen keine schwere Verletzung des Persönlichkeitsrechts mehr notwendig, um einen immateriellen Schaden geltend zu machen (vgl. Plath/Becker, DSGVO, 3. Auflage, Art. 82 Rn. 4c; Gola/Piltz, DS-GVO, 2. Auflage, Art. 82 Rn. 13).

Das Gericht folgt allerdings der auch von der achten Kammer des Landgerichts Karlsruhe vertretenen Auffassung (LG Karlsruhe, Urteil vom 02. August 2019 - 8 O 26/19 -, Rn. 19, juris), wonach nicht jeder Verstoß gegen die DSGVO allein aus generalpräventiven Gründen zu einer Ausgleichspflicht führt.

Der Verpflichtung zum Ausgleich eines immateriellen Schadens muss nämlich eine benennbare und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die beispielsweise in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden "Bloßstellung" liegen kann (Ehmann/Selmayr/Nemitz, DS-GVO, 2. Auflage, Art. 82 Rn. 13).

Auch im Bereich des immateriellen Schadens kommt ein Anspruch nur dann in Betracht kommt, wenn für den Betroffenen ein zwar immaterieller, aber dennoch spürbarer Nachteil entstanden ist; der Verstoß gegen Vorschriften der DSGVO allein führt nicht unmittelbar zum Schadensersatz.

Das Gericht verkennt nicht, dass der Erwägungsgrund 146 zur Datenschutzgrundverordnung vorsieht, dass der Begriff des Schadens auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. 

Es verkennt auch nicht, dass nach dem Erwägungsgrund 146 zu Datenschutzgrundverordnung die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten sollen.

Dies bedeutet indes nicht, dass eine wirksame Durchsetzung europäischen Datenschutzrechts nur dadurch gewährleistet werden könnte, dass auch ein Ausgleich immaterieller Bagatellschäden vorzunehmen wäre. Das Datenschutzrecht schützt zwar per se ein subjektives Recht, das einen starken Bezug zum persönlichen Empfinden des Einzelnen hat. 

Dennoch ist Art. 82 nicht so auszulegen, dass die Norm einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet (ebenso: OLG Dresden, Beschluss vom 11. Juni 2019 - 4 U 760/19 -, Rn. 13, juris).

Die Wahrung des Rechts auf informationelle Selbstbestimmung als Bestandteil des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 GG und des Schutzes personenbezogener Daten nach Art. 8 GRC gebieten einen solchen Ausgleich regelmäßig nicht (OLG Dresden, aaO). Gegen eine Ausdehnung des immateriellen Schadensersatzes auf Bagatellschäden spricht dagegen das erhebliche Missbrauchsrisiko, das mit der Schaffung eines auf Rechtsfolgenseite nahezu voraussetzungslosen Schmerzensgeldanspruchs gerade im Bereich des Datenschutzrechts einherginge (OLG Dresden,aaO).

Vielmehr ist eine echte Schädigung des Betroffenen beziehungsweise seines Persönlichkeitsrechts zu verlangen. 

Auch wenn diese nun nicht mehr per se schwerwiegend sein muss, so muss sie dennoch zumindest in einem objektiven Sinne spürbar sein (ebenso Becker in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Artikel 82 DSGVO, Rn. 4d).

Zwar ist vorstellbar, dass schon der Verlust von Daten und deren öffentliche Verbreitung einen auszugleichenden immateriellen Schaden verursachen kann. Über einen Bagatellschaden hinausgehende Schädigungen werden beispielsweise bei dem Verlust von Gesundheitsdaten, dem Verlust der Vertraulichkeit von anderen dem Berufsgeheimnis unterliegenden personenbezogenen Daten, dem Verlust von Daten mit sexuellem Bezug oder Daten, die gesellschaftlich kompromittierenden Inhalt haben, regelmäßig anzunehmen sein.

Eine bewusst rechtswidrig und im großen Stil betriebene Kommerzialisierung im Zusammenhang mit einem bewussten Datenschutzverstoß, die auch den Ausgleich von Bagatelleschäden aus Abschreckungsgründen erforderlich machen würde, liegt im Streitfall nicht vor.

Dem Verlust der Kreditkartendaten (Kreditkartennummer) ist zwar ein hohes materielles Schadensrisiko immanent, welches sich vorliegend aber mit der Sperrung der Karten vor deren missbräuchlichen Verwendung zu Zahlungszwecken nicht realisiert hat. Ob schon der in Folge des Lecks eintretende Datenverlust als solcher einen materieller Schaden begründet, ist zweifelhaft (so aber wohl Strittmatter/Treiterer/Harnos, CR 2019, 789, 793). 

Diese Frage kann offen bleiben, weil allein ein immaterieller Schadensersatzanspruch streitgegenständlich ist.

Dagegen stellt die Verbreitung des Namens, Geburtsdatums, Geschlechts, der E-Mail-Adresse und der Telefonnummer des Klägers jedenfalls im Streitfall nur einen Bagatellschaden dar.

Soweit der Kläger argumentiert, diese Daten ließen sich für einen Identitätsdiebstahl nutzen, handelt es sich dabei allein um ein abstraktes - nicht sonderlich wahrscheinliches - Risiko, das sich jedenfalls zum Schluss der mündlichen Verhandlung noch nicht realisiert hatte. Hinsichtlich der für die Bemessung eines Schmerzensgeld maßgeblichen tatsächlichen Verhältnisse kommt es aber auf den Zeitpunkt der letzten mündlichen Verhandlung vor dem Tatgericht an. 

Dabei ist zwar ein vorhersehbares künftiges Geschehen (notwendige Folgeoperation) einzubeziehen, nicht aber bloß mögliche künftige Schäden (Vieweg/Lorz in: Herberger/Martinek/ Rüßmann/Weth /Würdin- ger, jurisPK-BGB, 9. Aufl., § 253 BGB (Stand: 01.02.2020), Rn. 62). Etwas anderes ergibt sich auch nicht aus den Erwägungsgründen 75 und 85 zur DSGVO, in denen ein Identitätsdiebstahl als Beispiel für Risiken für die Rechte und Freiheiten natürlicher Personen bzw. für einen Schaden genannt wird.

Dass die auf das Mobiltelefon des Klägers gesandten Phishing- und Werbenachrichten in einem kausalen Zusammenhang mit dem Datenverlust bei der Beklagten stehen, steht nicht zur Überzeugung des Gerichts fest. Derartige belästigenden Nachrichten werden auch einer Vielzahl von anderen Personen zugesandt, welche nicht von dem „Datenleck“ bei der Beklagten betroffen waren.

Selbst wenn die Transaktionsdaten (B11) „gestohlen“ worden wären, ergäbe sich hieraus kein Anspruch auf Schmerzensgeld. Denn diese enthalten keine kompromittierende Inhalte. Dass der Kläger seine Kreditkarte häufig für Kleinbeträge bei Tankstellen nutzt, bei FastFood-Restaurants ißt und (teilweise in Frankreich) bei Discountern einkauft, ist derart alltäglich und unverfänglich, dass es sich insgesamt um einen Bagatellschaden handelt.

Die vorläufige Vollstreckbarkeit hat ihre Grundlage in § 709 ZPO.

Die Kostenentscheidung beruht auf § 91,91a ZPO.

Soweit die Parteien den Rechtsstreit übereinstimmend für erledigt erklärt haben, hat das Gericht unter Berücksichtigung des bisherigen Sach- und Streitstands nach billigem Ermessen darüber zu entscheiden, wie die Kosten des Rechtsstreits zu verteilen sind. Ausschlaggebend ist hierbei insbesondere der ohne die Erledigterklärung zu erwartende Verfahrensausgang, wobei lediglich eine summarische Prüfung der jeweiligen Erfolgsaussichten erfolgen kann. 

Den für die Kostenquote zu unterstellenden Streitwert des Auskunftsanspruch bemisst das Gericht mit 10 % des Leistungsanspruchs (500,00 €).

1.) Die Klage war im Auskunftsantrag zulässig. Auch wenn man die Verknüpfung von Auskunftsbegehren und Leistungsantrag im Rahmen der Stufenklage für unzulässig hält, liegt insoweit eine - zulässige - Klagehäufung im Sinne des § 260 ZPO vor. 

Auch wenn man der Auffassung ist, dass das Auskunftsbegehren des Klägers der Bezifferbarkeit des Leistungsantrags nicht zu dienen geeignet ist, hat der Kläger ein - zumindest für die Rechtsschutzgewährung ausreichendes - berechtigtes Interesse an den begehrten Auskünfte dargetan. Die Frage, ob dem Kläger ein Anspruch auf Erteilung der begehrten Auskünfte tatsächlich zusteht, ist nicht eine solche der Zulässigkeit des Auskunftsanspruchs, sondern eine Frage der Begründetheit (BGH, Urteil vom 02. März 2000 - III ZR 65/99 -, Rn. 22, juris).

2.) Im Rahmen der Auskunftsklage war die Klage jedenfalls in der überwiegenden Zahl der verfolgten Auskunftszielen unbegründet. Unter Heranziehung des Rechtsgedankens des § 92 Abs.2 Nr.1 ZPO hat der Kläger deshalb auch im Rahmen der Ermessenentscheidung nach §91a ZPO die Kosten des Rechtsstreits insgesamt zu tragen.

a.) Der Antrag nach aa) war bereits vor der Erledigterklärung jedenfalls überwiegend unbegründet. Die Beklagte hatte einen Auskunftsanspruch des Klägers nach § 15 DSGVO gem. § 362 BGB überwiegend erfüllt.

aa) Soweit der Kläger Angaben zur vollständigen Kreditkartennummer vermisste, hat die Beklagte mit der Duplik zu Recht darauf hingeweisen, dass diese Daten dem Kläger bekannt waren. Dass die Daten gespeichert waren, ergibt sich aus der Auskunft (B6). In der Tat ist kein Informationsbedürfnis erkennbar, diese bekannten Daten nochmals zu übermitteln.

bb) Soweit der Kläger die Auskunft vermisste, ob seine Daten vom Vorfall betroffen seien, kann dahinstehen, inwieweit die Email vom 22.08.2019 hierzu ausreichend sichere Angaben macht. Denn dass seine Daten betroffen sind, wusste der Kläger ausweislich der Seite 6 der Klagschrift bereits bei Klageerhebung.

cc) Soweit der Kläger Angaben zu seinem Passwort vermisste, hat die Beklagte nach Klarstellung des Informationsbedürfnisses die Auskunft erteilt, dass dieses in „gehashter“ Form vorliege und deswegen nicht mitgeteilt werden könne. Soweit der Kläger auf dem Standpunkt steht, der Hash-Werts müsse mitgeteilt werden, weil daraus eine Aussage zur Sicherheit des Algorithmus ableitbar sei, tritt das Gericht dem nicht bei. Weder der Auskunftsanspruch nach § 15 DSGVO, noch der Anspruch nach § 34 DSGVO geht so weit, dass technische Einzelheiten mitzuteilen wären, um Schlüsse auf technische Sicherungsmaßnahmen zu erlauben.

dd) Schließlich war auch eine Auskunft zu bereits gelöschten Daten (IPAdressen bei Anmeldung) nicht erforderlich, denn in zeitlicher Hinsicht sind nur Daten zu beauskunften, die tatsächlich vorhanden sind.

b.) Auch der Antrag cc) war unbegründet. Die Beklagte hat einen Auskunftsanspruch des Klägers, ob das Ablaufdatum oder die Prüfziffer der Kreditkarten betroffen seien, bereits vorgerichtlich mit Schreiben vom 22. August 2019 gem. § 362 BGB erfüllt.

c.) Die Anträge dd), ee), ff) und gg) waren bereits deshalb unbegründet, weil hier von vorne herein kein Auskunftsanspruch bestand.

aa) Ein derartiger Anspruch ergibt sich nicht aus Art. 15 DSGVO

bb) Ein derartiger Anspruch ergibt sich auch nicht aus Art 34 der DSGVO. Hinsichtlich der zu übermittelnden Informationen verweist Art. 34 DSGVO auf Art. 33 DSGVO, allerdings in eingeschränktem Umfang.

aaa) Gegenüber der Behörde muß der Verantwortliche gem. Art 33 Abs. 1 lit. a auch die vor der Verletzung getroffenen technischen Schutz- sowie organisatorischen Maßnahmen darstellen (Erwägungsgrund 87,BeckOK DatenschutzR/Brink, 33. Ed. 1.11.2019, DS-GVO Art. 33 Rn. 52-54).

bbb) Gegenüber dem Betroffenen muss der Verantwortliche mit der Benachrichtigung nach Art. 34 DSGVO dagegen keinen Gesamtüberblick über den Datenschutzverstoß verschaffen (BeckOK DatenschutzR/Brink, 33. Ed. 1.11.2019, DS-GVO Art. 34 Rn. 32, 33). Vielmehr erstreckt sich die Benachrichtigungspflicht gegenüber dem Betroffenen nur auf Art. 33 Abs. 3 lit. b, c und d DSGVO.

ccc) Dass der Verantwortliche eine Beschreibung der vor der Verletzung ergriffenen Maßnahmen zum Schutz personenbezogener Daten nur gegenüber der Behörde, nicht aber gegenüber einer Vielzahl von Betroffenen darstellen muss, ist auch sachgerecht. Denn eine Auskunft dazu, in welchem Standard Daten gespeichert werden und wie die Daten verschlüsselt werden, kann weiteren Angriffen den Boden bereiten.

Es kann deshalb offen bleiben, ob das Auskunftsersuchen im Übrigen begründet war. Denn im Hinblick auf § 92 Abs.2 ZPO hätte ein Obsiegen insoweit ein so geringes Gewicht, dass es gerechtfertigt erscheint, die Kosten des Rechtsstreits allein dem Kläger aufzuerlegen.

Insbesondere kann offen bleiben, inwieweit die Auskunft zum dem Antrag aa) (welche personenbezogenen Daten des Klägers sie im Rahmen des Bonusprogramms „Priceless Specials" verarbeite) vollständig war und inwieweit derartige Angaben erst nach einer Präzisierung des Auskunftsverlangen erforderlich waren. Der Detaillierungsgrad einer Auskunft nach Art. 15 DS-GVO ist umstritten. So soll einerseits keine unvollständige Auskunft erfolgen, andererseits aber vermieden werden, die betroffene Person entgegen Art 12 Abs. 1 DS-GVO mit unerwünschten Informationen zu „überfluten“ (BeckOK DatenschutzR/Schmidt-Wudy, 33. Ed. 1.8.2020, DS-GVO Art. 15).

Es kann vorliegend offen bleiben, ob die Beklagte bereits mit der Erstauskunft eine Aufstellung der verfügbaren IP-Adressen und Login Daten, die sich auf die Nutzung des Bonusprogramms beziehen, zur Verfügung hätte stellen müssen (erfolgt mit Anlage B 16). Ebenso kann offen bleiben ob die Beklagte bereits mit der Erstauskunft die später verdienten Coins und die später mit der Anlage B 11 offenbarten Transaktionen mit den „Coins“ hätte mitteilen müssen und ob Angaben zum Profiling (Art 15 Abs.1 h DSGVO) hätten gemacht werden müssen.

Aus den gleichen Gründen kann offen bleiben, ob der Antrag nach bb) begründet war.

Danach hat der Kläger die Kosten des Rechtsstreits insgesamt zu tragen.